775 ЕО) 


М/НАОКЕК 
ΟΥ аа 


Н ζωή µε έναν OpenVPN-enabled router 

Virtualization µε то КҮМ, στο openSUSE 

Εντοπισμός και περιορισμός των bandwidth hogs 
Κρυπτογράφηση αρχείων πριν ανέβουν στο σύννεφο 
Βασικές ρυθμίσεις µετά την εγκατάσταση του openSUSE 


h. 
D ο... 
Wb. 
YN 

T" Bm 
Мы РР” 
ЛУ” 

D 
dius a 


#dH049 | Περιεχόμενα 


e ο στ паны ο τροπο. 06 
Θέσεις 27 και 28. 

BV IVC ο VTV 10 
Δεν υπάρχει καμία ελπίδα. 
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Εγκατάσταση και ρύθμιση openSUSE σε PC που προορίζεται για 
virtualization host ug то КҮМ. 


H ζωή µε τον OpenVPN-enabled router џрос̧................................................... 32 


Κόλπα για rov OpenVPN-enabled pfSense router µας, βελτιστοποίηση 
συμπεριφοράς client και server, ἔλεγχοι επιθυµητής λειτουργίας. 


Έξτρα κρυπτογράφηση για τα δεδοµένα µας ото cloud. 52 


Πώς προσθέτουμε ένα έξτρα επίπεδο κρυπτογράφησης, апо τον τοπι- 
κό µας υπολογιστή, στα δεδοµένα που αποθηκεύουµε σε cloud storage 
services. 


Περιορισµός του bandwidth για τους аҳӧртаүоос̧........................................ 64 


Υλοποίηση πολιτικών για rov περιορισμό των bandwidth hogs ενός τοπι- 
KOU δικτύου. 


Προσωπικό cloud µε то openSUSE, µέρος 2.................................................. 80 


Εγκαθίδρυση υποδομής virtualization ug το KVM σε ένα openSUSE box, 
δηµιουργία και διαχείριση VMs, απευθείας πρόσβαση VM σε φυσικό 
δίσκο. 
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/var/log/messages 


θέσεις 27 και 28 


του Χρήστου Βαρελά 


Φίλες και φίλοι, 


Σας γράφω τούτες τις γραμμές µέσα από λεωφορείο Tou ΚΤΕΛ, καθ’ οδόν 
προς Δράμα. Δίπλα µου είναι η κα Σύμβουλος Εκδόσεως (TM) rou nepo- 
δικού, η οποία πριν апо λίγο άκουγε μουσική από ένα µπλε МРЗ player που 
EXEL pact της. Τώρα προσπαθεί να βγάλει φωτογραφίες µε το κινητό της 
--κιας εἶναι χαμηλός ο φωτισμός. 


Περνάμε από το Λόφο Καστά, στην Αμφίπολη, κι όποτε είµαστε εδώ KO- 
ντά n ka Σύμβουλος Εκδόσεως (TM) συνηθίζει να βγάζει φωτογραφίες. 


Απόψε προσπαθεί και να *un* σχολιάσει το γεγονός της ξαφνικής ανά- 
συρσης rou laptop από то σακίδιό µου, βεβαίως και της προσπάθειάς µου 
νασας γράψω τις γραμμές τούτες. 


Γενικά, στο ΚΤΕΛ προτιμάµε θέσεις μπροστά. Σήµερα όµως, 23 του μήνα, 
όλοι φεύγουν από Θεσσαλονίκη για Χριστούγεννα. Το λεωφορείο είναι 
γεμάτο, οπότε αναγκαστικά πήραμε τις θέσεις 27, 28. Δεν μας αρέσει 
να καθόμαστε τόσο πίσω, αλλά τουλάχιστον έχουμε λίγο περισσότερο 
χώρο: рпроота апо тіс θέσεις µας έχει κάτι σαν τραπεζάκι και µετά είναι 
η πόρτα, οπότε το να βολέψω κάπως το laptop και ν αρχίσω να γράφω 
беу στάθηκε αδύνατο. 


Ένα καλό που έχει το ΚΤΕΛ είναι οι ευκαιρίες που σου δίνει για v' ακούς 
μουσική που υπό φυσιολογικές συνθήκες беу έχεις την ευκαιρία у ακούς 
-- ñ τουλάχιστον ἐτσι συμβαίνει µε την περίπτωσή µου. 


Να, ακριβώς τώρα έχει Βασίλη Καρρά: Όσα κομμάτια κι αν μπορέσεις να 
ενώσεις, беу θα σου φτάσουν µια στιγµή για να µε νοιώσεις, στα είπα 
όοολααα κ.λπ. κ.λπ. 

Πριν είχε την κυρία Πάολα και πιο πριν πάλι Καρρά, µε αυτό το θεϊκό εγω 
καμάρα, κι εσύ πολυτεχνείοοοοο (τον τίτλο δεν τον θυμάμαι). 
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* Κάθε φορά που ακούω Καρρά, беу μπορώ παρά va αναρωτηθώ για την 
ηλικία rou. Кала ха είναι, απλά το αναφέρω γιατί εἶναι από εκείνους τους 
ανθρώπους οι οποίοι, όσο κι αν περνούν τα χρόνια, εμένα µου φαίνεται 
πως беу αλλάζουν. 


° Σας έχει συμβεί ποτέ αυτό; Na συνειδητοποιείτε ότι κάποιοι άνθρωποι 
εἶναι αναλλοίωτοι στο χρόνο; Εντάξει, εἶναι λογικό να έχουμε αυτή την 
εντύπωση για όσους εἰναι κοντά µας και τους βλέπουμε καθημερινά, 
αλλά μερικές φορές συμβαίνει και µε άλλους, τους οποίους беу έχουμε 
συναντήσει ποτέ. Πα εμένα ο Καρράς είναι ένα παράδειγµα, η Κανέλλη 
éva άλλο. 


° Τέλος πάντων, δεν είναι µόνο αυτές οι σκέψεις που μ' απασχολούν αυτή 
τη στιγμή. Εδώ και μερικές ὧρες σκέφτομαι τον καημένο τον virtualization 
host που έφτιαξα προσφάτως, ο οποίος έχει μείνει μόνος rou στη Θεσσα- 
λονίκη, δίπλα στο pfSense box. Δεν πρόκειται να πάθει κάτι το μηχάνημα. 
M' ανησυχεί όµως η σκέψη της διακοπής της πρόσβασης -- κι αναφέρο- 
μαι στη δική µου την πρόσβαση. Σήμερα το μεσημέρι βεβαιώθηκα OTL о 
OpenVPN server στο pfSense box λειτουργεί σωστά, WOTE να ἔχω έναν 
τρόπο να φτάνω στο τοπικό δίκτυο πίσω του, ара και στον virtualization 
host. 


* Μηνομίζετε ότι έχω κάποια µεγάλη ανάγκη ra VMS Tou εν λόγω host, χρι- 
στουγεννιάτικα. Ίσως όµως χρειαστεί να συνδεθώ yta уа τσεκάρω κάτι 
ή για να βεβαιωθώ ότι κάτι άλλο δουλεύει όπως προβλέπεται. Ξέρετε 
κάτι; Δεν θα είχα την ανάγκη γι αυτούς τους ελέγχους, αν είχα βάλει τις 
τελικές πινελιές σε ένα μίνι αφιέρωμα που ετοιµάζω για TO τεύχος 049. 


° Τομµίνιαφιέερωµα αφορά στο virtulazion µε TO KVM και το openSUSE, μόνο 
που για άλλη µια φορά απεδείχθη ότι και μίνι δεν είναι *kar* τον ατελεί- 
WTO έχει. 


«e Κλασικά. 


* Κάτι που µε αγχώνει μ' αυτόν τον πρόσφατο εκτροχιασµό εἰναι o DTP 
guy του περιοδικού, ο οποίος µε τη σειρά του αγχώνεται που έχει αυτή 
τη «μικρή: εκκρεμότητα µε ro PDF του νέου τεύχους. Είμαι επίσης oi- 
γουρος ότι ανησυχεί kt O кос Αρχισυντάκτης (TM). Αυτός όµως ανησυχεί 
σιωπηρά και беу μιλάει. Είναι που για то τεύχος 049 δεν ετοίµασε κάποια 
άρθρο, λόγω έκτακτων υποχρεώσεων. Δυο-τρία τεύχη πριν ξεκίνησε µια 
σειρά άρθρων (όχι μίνι, γύρω από TO пос ακριβώς κατασκεύασε τον δικό 
TOU υπολογιστή -- κι εννοείται ότι беу αναφέρομαι σε συναρμολόγηση PC. 
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Καταλάβατε τι ékavg; Μας έβαλε καλά καλά στην πρίζα µε ra τέσσερα 
πρὠτα άρθρα της σειράς, τώρα όµως µας βάζει στον πάγο. Τουλάχιστον 
υποσχέθηκε ότι θα επανέλθει απὀ το τεύχος 050. 


Τώρα που είπα "Mayo", τι αισχρό αίσχος εἰν' αυτό µε τον καιρό φέτος; To 
μόνο παρήγορο --και μόλις προσπάθησα να κάνω air-quotes αλλά είμαι Ká- 
πως OTPLUWYHEVOC µε το μπουφάν εδὠ και φοβάμαι µη µου γλυστρήσει 
TO laptop--, είναι ότι το κακό беу έχει χτυπήσει µόνο την Ελλάδα, όπως 
άλλωστε συνηθίζει τατελευταία χρόνια. Να, έβλεπα χθες λίγο την αγγλι- 
κή εκδοχή του DW και είχε δελτίο καιρού: γύρω γύρω στη Γερμανία, πα- 
ντού ]2άρια βαθμών Κελσίου! Στο μεταξύ µου έλεγε κι o Θείος Ακάκιος 
τα νέα TOU ανηψιού, ο οποίος ως γνωστόν EXEL εγκατασταθεί, πρακτικά, 
στο Λονδίνο. Προς то παρόν, λέει, ο χειμώνας εἰναι o πιο αφύσικα ζεστός 
για τα τελευταία χρόνια. Πάνε, λέει, να σπάσουν το ρεκόρ του 48. 


Έχει τώρα αρχίσει να στρίβει το ΚΤΕΛ, που εμποδίζεται από την πολλή 
κίνηση, για να μπει στο προαύλιο του σταθμού, στη Δράμα. Δεν ξέρω αν 
το λένε "προαύλιο". Μόλις τώρα το σκέφτηκα κι осо σκέφτομαι ότι TO 
σκέφτηκα, σκέφτομαι OTL р αρέσει αυτό που μόλις σκέφτηκα και θα TO 
καθιερώσω уа то λέω (αυτό που μόλις σκέφτηκα). 


H κα Σύμβουλος Εκδόσεως (TM) κοιτάζει έξω από το παράθυρο та φώτα 
της Ονειρούπολης, η οποία είναι δίπλα στο σταθμό. Κοιτάζω κι εγώ και 
το βλέμμα µου πέφτει σε µια ηλεκτρονική πινακίδα, που δείχνει τη θερ- 
μοκρασία. 


Οκτώ βαθμοί εἶναι ανεκτοί για την εποχή, και η γενική ατμόσφαιρα στη 
Δράμα ήδη δείχνει όμορφη και χριστουγεννιάτικη. 

Είμαι σίγουρος ότι είναι. 

Καλές γιορτές να έχουµε και va ΄µαστε кала, να φροντίζουμε την OVEL- 
ροὐπολή µας και να βοηθάµε τους ανθρώπους µας уа φροντίζουν τη δική 
τους. 


Hmm 
zs | 
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Digital Ocean 


Тахотата VPSes στο cloud, σε hosts µε δίσκους SSD. 
Επιθογή datacenter σε Ευρώπη, Αμεριηή kai Ασία. 
Lean-mean control panel, για απόϑυτο έθεγχο. 


Αποητήστε τώρα το δικό cas VPS, 

στο cloud tns DigitalOcean. 

Κάντε кйік στο http://bit.ly/digocean10off 
και κερδίστε αυτομάτως 105 σε credit. 


Hint: Επιῆέγοντας το μικρό πϑάνο, 

Πάντα με μῆιη στο http: //bit. ly/digocean1 Ooff, 
ουσιαστιμά έχετε δύο µήνες δωρεάν για ένα VPS 
µε 512МВ RAM, 20GB SSD μαι 1ΤΒ transfer. 


E Δεν είναι кі άσχημα 
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OVELA ре. 


Αγαπητοί pou, 


Δεν θα σας κρατήσω σε αγωνία, δεν νομίζω πως 


exer νόημα. EVO το έχω 
πάρεν απόφαση. Τα πράγματα είναν απλά: ° 


4 
Δεν υπάρχεν καμία pa καμία ελπίδα. δ. 
Хол, ξέρω, πλησνάζουν --ακόμα Har φέτος-- αν εορταί Hal θα περιµένα- 
τε φαντάζομαι να σας γράφω κάτι πιο ανσνόδοξο, кот, εορταστικό. 


Όχν. Δεν μπορώ. Από όπου καν να το κοιτάξω παταλήγω στο ἰδιο συµπέ- 
ρασμα. 


Δεν υπάρχει καμία απολύτως ελπίδα. 


Ти Tv θα πεν "σε τν αναφέρομαν"1 Σε τίποτα δεν αναφέρομαι. Στα πάντα 
αναφέρομαι. 


Ελλάδα, ας πούμε. Ξέρετε. Н Γαλανή µας Πατρίδα (TM). 

Πότε είχαµε εκλογές; Χτες; Προχτές; Τέλος πάντων. Προ ημερών. θυμά- 
μαν, yr νομίζετε --κν ας µε κακολογεί ο ανιφιός--, ша χαρά θυμµάμαν. 

O Κύριος Πρωθυπουργός (οθντκ). Είχε μόλις υπογράφει το δικό του µνη-- 
µόννο, ξέρετε ποιό, το "εκβιαστικό", το µετά το δημοψήφισμα, το µε τις 
Ἠλειστές τράπεζες. To µε χωρίς Γιάνη. Αυτό. 

То, φέρνει, λοιπόν, όλα στην Βουλή. Ар" έπος, αμ' έργον. 

Ψηφίζουν όλοι γνατί έχουν πατατροµάξεν. Пока, διχαστικά δημοφηφίσματα 
καν πρασινάλογα. Exel να δεις συναίνεση. O ορισµός της συναίνεσης. 

Με δύο εξαιρέσεις: То ККЕ, оло την pla, жол ον χρυσαβγοί από την άλλη. 
А, καν η Zoe. Πυλώνες της αντιμνηµονιακής αντίστασης. (BIW, αυτό δεν θα 
μας βγει σε καλό, να µου το θυμηθείτε.) 


Τέλος πάντων, όλα τα χατήρια του κάνουν. Tov πιστεύουν. O Aleksis 
τους πείθεν. Κάνουν την ανάγκη φυλοτυμία. 


Ψηφίζεται λοιπόν το Μνημόνιο το 5? το Αριστερό, καν TL X&VEL ο τιτάνας 
της στρατηγικής; Εκλογές, 


Επλογές, то διανοείστε; Πρώτα φηφάεν τα µέτρα και µετά κάνει εκλογές. 
Αυτά έπρεπε να διδάσκονται στα πανεπιστήμια. 

Δηλαδή τι; Ки αν έχανε; 

θα βγαίνανε µετά ξερώ "үз ποιον, καμιά γαλαζοπράσινη ποταμίσια τσι- 
πούρα, αναγκασµένη να υλοποιήσει το αριστερό μνημόνιο µιας καν το είχε 


Φηφίσει, καν θα είχε τον Aleksis στην Αντιπολίτευση να φωνάζει κατά του 
ΦΠΑ στα κουρεία καν του ΒΝΦΙΑ στους αναπτήρες. 


Ναν, καλά. 


Πανικός. Βγαίνανε λονπόν όλον жо) τον παρακαλάγανε, тоу Κύρνο Hp 
θυπουργό (οθντκ), "μην κάνεις εκλογές, άνθρωπε του θεού, την στήριξή µας 
την έχεις, μνημόνιο υπέγραφες, έλα, εντάξει, έλα θα τα βρούμε[" 

Μπα... Χαμπάρν. Τίποτα. Εκλογές. 


Αφού τον βλέπαμε µε την μητέρα της Βξαδέλφης στον lvtepve xv είχαμε 


Helix asperise агур 
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Σνέιλ μέιλ 


αρχίσει να αναρωτιόµαστε, βρε μπας жол το EXEL κανένα παιδικό τραύμα, µε τις εκλογές καν τις 
δημοκρατικές διαδικασίες, μήπως τον βγαίνεν έτσι, "νποσυνείδητα", καν τον ξεπερνάεν, μήπως δεν 
μπορεί να το ελέγξει. Να το βοηθήσει κάποιος το παιδί, να μιλῆσεν στην μάνα του, να τον ζεμα- 
τιάσουν, κάτν να κάνουν τέλος πάντων. 

Όχν. Αντός θέλεν εκλογές. 

Βανανικάεν λοιπόν. O Κύριος Πρωθυπουργός (оӨути). Ex νέου. Νπλαμπλαμπλά δημοκρατία, 
μπλαμπλαμπλά µε εκλέξατε HAT. 

Άντε πάλιν PLA оло Ta ἴδια. 

Καν τν κυβέρνηση, е; Δεύτερη φορά αριστερή. Ρηξικέλευθη.Βπαναστατική. Μεταμοντέρνα. 

Τέλος πάντων, τα θυμόμαστε όλον αυτά. Πόσες ώρες, μέρες, βδομάδες έχουν περάσει από τις 
εκλογές» Δέκα; Έντεκα; Awbexas Τόσες. OXL περισσότερες. Τόσες. 

Μόλις που προλάβανε να εορτάσουν τη ναυμαχία της Σαλαμίνας, жу αρχίσανε να μιλάνε ξανά 
γνα τα "προαπαιτούμενα". Καν γνα την ανάγκη συναίνεσης. 


Μπλαμπλαμπλά νωπή εντολή. Ον κακοί ον ξένου. Τα προαπαιτούμενα. Μπλαμπλαμπλά δηµομρα- 
tla. Н δόση. To ασφαλιστικό. Н πραγματική οικονομία. Ον ξένοι. Μπλαμπλαμπλά ον κακοί ον ξέ- 
νου. 


Προαπαιυτούμενα. 

Λέξη κλειδί. 

Προαπαυτώ proapeto -ούμαν (συνήθ. παθ.) : απαντώ, αξνώνω, ζητώ XT. εκ των προτέρων, 
προκαταβολικά (ως όρο ἡ προῦὐπόθεση): Για τη χορήγηση συναλλάγματος σε σπουδαστές προα- 
παιτείταν η εγγραφή τους σε σχολή του εξωτερικού. Έγιναν όλες ον προαπαιτούμενες ενέργειες, 
ώστε να προχωρήσει η υπόθεση. // (unn. шс ουσ.) τα προαπαιτούµενα, ον προὐποθέσεις, ον ὁροι. 

MOY. Sr. προαπαντω 

Καμιά φορά μεταννώνω που το "χω βάλεν τάμα να σας γράφω µε την γραφομηχανή, γνατί η 
γραφομηχανή δεν exer κόπυ πένστ. Δεν Exel, τν να κάνουμε. То ως ἄνω το πληκτρολόγησα. 

θα το ήθελα, όμως, να Eyer. Γνα wat’ μέρες σαν σήμερα. Γιατί αν είχε холо πένστ θα σας την 
είχα έτονµη την επιστολή από χτες, και σήμερα θα είχα πάει σινεµά µε την Μαιρούλα καν την 
Εξαδέλφη. Έστω x. αν βρέχει. 


ALOTL, αγαπητοί μου, τα φετεινά προαπαιτούμενα, αυτά που έχουν κάνεν τον Κύριο Πρωθν- 
πουργό (οθντκ) να ζητάει συναίνεση και να κάνεν μούτρα πον δεν του την δίνουν, είναν ακριβώς 
τα ίδια, µα - ακριβώς τα (δια µε εκείνα που προαπαντούνταν και προ πενταετίας. Το µόνο που 
ἔχεν αλλάξεν είναν ον ημερομηνίες (add 5 years). 

Κόπυ πένστ σας λέω. Αφού µου έρχεται м" αφήσω τη γραφομηχανή καν να πιάσω τον φορητό τη 
εξαδέλφης үш. να το βρω να σας το δείξω. Ψάξτε το. 

To, σημερινά προαπαιντούµενα λονπόν είναν lóra µε τα προαπαιτούµενα του 2010. To σημερινό 
μνημόνιο είναν ίδιο µε του 2010, µε ενσωματωμένη όλη την επιδείνωση (στο μεταξύ) κάθε µεγέ- 
θους της οικονοµίας λόγω της βλακείας µας καν της καθολικής µας απραξίας. 

Καν φυσικά λόγω της ώριμης αντιπολιτεντνκής 
πρντικής του Aleksis και των φί- 
λων του απὀ την κάτω πλατεία. 


ΟΚ, εντάξεν. θα µου πείτε, τν 
µε έπνασε στα καλά του παθου- 
μένον, τώρα το κατάλαβα OTL δεν 
ἔχεν γίνει τίποτα -- KL οὔτε πρό- 
HELTAL ποτέ να γίνει; 

Πραγματικά xv εγώ αναρωτιέμαι, 
αγαπητοί µου. Πηγαίνω κάθε λίγο 
στο μπάνιο, µε χουτάζω στον ха- 
θρέφτη και µε ρωτάω. Περίμενα, ει- 
λυκρυνά, πως θα είχε γίνεν κάτι; Πως 
θα είχε κάπονος κάνεν κάτι! Καλά 
πού (u$ Κάπονος, ποιος; O Aleksis; 


OVELA MUELA 
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Αφού αυτός έβγαινε καν µας υποσχόταν πως θα σκίσεν, θα διώξεν, θα 
απελευθερώσει, θα χορέψει, καν δεν ξέρω τι ἀλλο. Μετά θα Enpepwve pra 
καννούργνα μέρα. 

Κιεμείςτον πιυστεύα µε! 


Ναν, βεβανα, παννούργνα pépa ξηµέρωσε, δε λέω. Καν σήµερα το πρωΐ, 
κπαινούργνα ήταν η реро. 


Καν τώρα είμαστε εδώ που είμαστε. 


Από την µία έχεις тоу Κύριο Πρωθυπουργό (οθντκ). Και ало την άλλη 
έχεις την αντιπολίτευση. Μόλις βγήκανε оло την σύσκεφη µε τον Πρόεδρο 
της Δ. Σχυθρωποί. Δύσπιστον. 


H αντιπολίτευση, ναι. Το δημοκρατικό τόξο. H ευρωπαϊκή πορεία. H ελ- 
πίδα τον έθνους. E πράσινη ελπίδα. H γαλάζια, 


Άνθρωποι pe πείρα. Έχουν µάθεν оло τα λάθη του παρελθόντος. Κουτάνε 
μπροστά. Έχουν ὀρεζη για δουλειά. Έχουν ιδέες. Έτονμον να κυβερνήσουν. 


Nav καλά, πάω για καφέ καν φωνάξτε µε όταν βγεν το φαγητό. 

Ας καταφέρουν πρώτα να εκλέξουν νέο αρχηγό, x. ας έρθουν µετά να xv- 
βερνήσουν. 

Αλλά ξέρω, var, είναν άνθρωπον της δουλειάς και του ιδρώτα. Με την TE- 
χνολογία δεν τα πηγαίνανε ποτέ και τόσο καλά. Δεν πειράζει το φιάσκο. 
Καλή διάθεση να έχουµε xL όλα θα γίνουν. 


Αγαπητοί µου, 
To βλέπετε τώρα αυτό που σας λέως 
Δεν υπάρχει ελπίδα. Καμία. 


Καν δεν υπάρχει, ÓXL γνατί ον πυβερνώντες είναν άχρηστον. (Που είναι, 
δηλαδή, αλλά δεν είναν αυτό το θέμα.) 


Ελπίδα δεν υπάρχεν γνατί ακόµα καν σήμερα, µετά απὀ τα πέντε αυτά 
(σε λίγο ἐξι) χρόννα πρωτοφανών χαστουκνών Hal ταπείνωσης, συνεχίζουμε, 
ως ποινωνία, να πιστεύουμε πως κάπως θα γίνει, μαγικά, καν όλα θα γίνουν 
ξανά όπως ήταν τα παλιά Καλά χρόνια. Χωρίς να χρειαστεί να κάνουμε Ti- 
ποτα. O Aleksis µας. H αυτός που θα έρθει µετά τον Aleksis. O Κλούβνος 
παν η Σουβλίτσα. H Zoe. То Φουσκωτά Παληκάρνα. 


θα έχουµε λεφτά, θα έχουµε μισθούς, θα κλέβουμε το κράτος, θα Ne 
Bous о ένας τον άλλο, θα παίρνουμε καν καμιά επιδότηση оло τους KOUTO— 
φραγκους, καν θα την περνάμε ζάχαρη. 


Είναι θέµα απόφασης. Άμα ο Έλληνας θέλεν, όλα τα καταφέρνει. 


To μέλλον φαντάζει λαμπρό. Ον πρόσφυγες беу θα έρχονταν πλέον σε pac, 
ον Τούρκοι θα µας σέβονταν, τα Σκόπια θα έχουν αλλάξει όνομα, ov Ίσλα- 
μνστές θα µας φοβούνταν γνατί έτσι γράφεν το Κοράνν, ον Αμερικανοί θα 
µας χρειάζονταν γιατί είµαστε σε στρατηγικό γεωπολιτνκό σηµείο, ον Ῥώσον 
θα µας προστατεύουν γνατί µας ενώνεν η Ορθόδοξη Πίστις, ον Γερμανοί θα 
µας έχουν δώσει όλες τις αποζημιώσεις που µας χρωστάνε, οπότε θα έχουμε 
αποπληρώσεν το χρέος. Гео να µην τα πολυλογώ, όλη η Ονκουµένη θα έχεν 
αναγνωρίσει τη μοναδυκότητά µας, καθώς καν αυτήν της γλώσσας µας που, 
όπως EXEL πεν και ο Μπιλ Γκέντς, civar η γλώσσα της πληροφορικής και της 
νέας γενιάς των εξελιγµένων υπολογιστών, διότν µόνο σ' αυτήν δεν υπάρχουν 
όρια. 


Ен τν νομίζατε: 

Μπρίκνα πολλάγαμε τόσο καιρό: 
Σας ασπάζοµαν, 
θείος Ακάκιος 


= 1 
099 nonta | О YEAR 
Be 2 ee » 


Κάρια e-coin, nou бехеш Bitcoins: Δουβεύει 
onde óñec oi kavovikée картес Debit, 
πανιού отоу κόσµο και για online αγορές. 
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Skill: Beginner 
Tags: openSUSE, YaST, KVM, virtualization 


Προσωπικό cloud 
με то openSUSE 


[μέρος 1/2] 


Έχετε ποτέ αναρωτηθεί ті εννοεί κάποιος που λέει ότι διαθέτει server ή/ 
και storage στο cloud; Μην προσπαθήσετε να δώσετε µια επεξηγηµατική ñ 
ἔστω ικανοποιητικά γενική απάντηση. Πολύ απλά, ο φίλος µας εννοεί ότι 
χρησιμοποιεί τον υπολογιστή και τα µέσα αποθήκευσης Κάποιου Άλλου (ΤΜ) - 
κι ас µην το συνειδητοποιεί. Αν εἰσαστε апо εκείνους που *ógv* σνομπάρουν 
τα οφέλη του cloud αλλά την ίδια στιγµή η ιδέα του να χρησιµοποιείτε ξένους 
πόρους δεν σας πολυαρέσει, αυτό το μίνι αφιέρωμα εἰναι για εσάς. 


του Χρήστου Βαρελά 


Ευθύς εξαρχής ξεκαθαρίζουµε ότι είμαστε φανατικοί οπαδοί rou cloud. Па To πε- 
ριοδικό κι όχι µόνο χρησιμοποιούμε εικονικούς Servers, χώρους αποθήκευσης και 
υπηρεσίες λογισμικού που κατοικούν Εκεί Έξω (TM), στο cloud. Την ίδια στιγµή 
όµως µας αρέσει -και µας βολεύει- να έχουµε κι ένα μίνι, προσωπικό cloud, то 
οποίο δεν βρίσκεται ψηλά στον ουρανό αλλά κάπου εδώ κοντά, στο τοπικό δίκτυο 
της Parabing Creations. Και για να γίνουμε λίγο πιο συγκεκριμένοι, μιλώντας για 
"προσωπικό Cloud" έχουµε κατά νου ένα φυσικό µηχάνηµα ικανό να φιλοξενεί δύο ή 
περισσότερους εικονικούς υπολογιστές, οι οποίοι προσφέρουν Eva πλήθος υπηρε- 
σιών. Ποιες µπορεί va ναι αυτές οι υπηρεσίες; Парабетооне μερικά µόνο παραδείγ- 
рата: name server, proxy cache, database server, file server, Tor relay/middlebox, media 
server, Dropbox node, OpenVPN server, web server к.о.к. 


Πα τους πειραματισμούς κατά την προετοιμασία άρθρων, για ορισμένες βασικές 
υπηρεσίες που χρειαζόμαστε στο τοπικό δίκτυο, όπως επίσης και για καθαρή õa- 
σκέδαση, στο παρελθόν έχουµε αρκετές φορές διαμορφώσει ένα РС шоте у ava- 
λαμβάνει καθήκοντα virtualization host. Μετά απὀ µια σειρά τυχαίων περιστατικών 
που συνέβησαν σχετικά πρόσφατα (https://colder.xyz/exploding-disks), εδώ και AC 
γες µέρες το εν λόγω PC τρέχει то openSUSE LEAP (https://www.opensuse.org) kat 
για το virtualization βασίζεται στην τεχνολογία του KVM (http://www.linux-kvm.org). 


Το openSUSE εξ ορισμού εγκαθίσταται µε περιβάλλον γραφικών (π.χ., ΚΡΕ ñ 
GNOME). Αν ο χρήστης το επιθυμεί µπορεί να EXEL το λειτουργικό σύστημα χωρίς 


GUI, δηλαδή we "кабардацио" server OS. Άλλωστε та KVM VMs δεν χρειάζονται TO- 
πικό display, εἶναι προσβάσιμα µέσω δικτύου και φυσικά δεν απαιτούν περιβάλλον 
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γραφικών από πλευράς host OS. Το ίδιο ισχύει και για τις εργασίες της δημιουργίας 
και της μετέπειτα διαχείρισης των VMs: Όλες είναι δυνατόν va πραγματοποιούνται 
είτε από τη γραμμή εντολής είτε µε τη βοήθεια του κατάλληλου graphical client, о 
οποίος τρέχει σε άλλο μηχάνημα. 


Tro o io αυτό κάποιος θαμπορούσεναεγείρειένστασηγιατη χρήσητου openSUSE 
ως host OS - kt av αναφωνούσε κάτι σαν "Objection, Your Honor!" 8a ήταν ro (vóaA uá 
μας. Θα ερωτούσαμε, τότε, " On what grounds?", και μάλλον Ва µας απαντούσε µε 
EVA ελαφρώς ειρωνικό "Relevance?" Το ερώτημα εδώ είναι γιατί va καταφύγουμε 
στο openSUSE µε GUI, αντί o' éva περισσότερο server-oriented λειτουργικό, όπως, 
TLX., εἶναι TO Ubuntu Server LTS. Κι αν σώνει και καλά θέλαμε κάποιου είδους GUI 
από πλευράς host OS, θα μπορούσαμε να στραφούμε στο εξειδικευμένο Proxmox VE 
(http://deltahacker.gr/deltacast-s01e08), το οποίο μεταξύ άλλων παρέχει κι ένα Е0- 
χρηστο web panel. Η ένσταση λοιπόν είναι 101% έγκυρη. Μάλιστα πριν To openSUSE, 
από To ίδιο РС εἶχαν περάσει τα Ubuntu Server και Proxmox VE. O λόγος που αυτή τη 
φορά επιλέξαμε то openSUSE, ήταν γιατί συνειδητοποιήσαμε ότι συχνά θα θέλουμε 
να χρησιμοποιούμε το μηχάνημα κι ως σύστηµα desktop. H αντίστοιχη εκδοχή του 
Ubuntu εἶναι µια χαρά y' αυτό το σκοπό, επειδή όµως ro openSUSE έχει µια ξεχω- 
ριστή θέση στην καρδιά µας και προσφάτως κυκλοφόρησε και η νέα έκδοση (42.1 
LEAP), αποφασίσαμε τελικά να πάμε μ' αυτό. 


Στη συνέχεια βλέπουμε τη διαδικασία εγκατάστασης rou openSUSE LEAP κι αμέ- 
σως µετάπαραθέτουµετις βασικές ρυθμίσεις που αξίζει να γίνουν στο λειτουργικό. 
Αν µας ακολουθήσετε, προς το τέλος του άρθρου θα έχετε ένα πλήρες σύστημα 
desktop για καθημερινή χρήση, το οποίο όµως έχει να προσφέρει πολλά περισσό- 
тера απ όσα γίνονται άµεσα αντιληπτά. Στο δεύτερο και τελευταίο άρθρο της μίνι 
σειράς, που αρχίζει από τη σελίδα 80, συνεχίζουμε µε την εγκατάσταση της υποδο- 
unc virtualization και βλέπουμε πώς δημιουργούμε και διαχειριζόµαστε εικονικές 
μηχανες. 


Προδιαγραφές συστήµατος κι εγκατάσταση openSUSE 


To PC στο οποίο έγινε η εγκατάσταση διαθέτει έναν διπύρηνο επεξεργαστή Intel Core 
i3 µε hyper-threading, επομένως σε λειτουργικό σύστημα κι εφαρμογές εμφανίζεται 
ως τετραπύρηνος. H μνήμη RAM ανέρχεται στα 8GB κι αν η μητρική το επέτρεπε 
θα προσθέταµε άλλα οκτώ. Ωστόσο ακόµη και μ' αυτά τα σχετικά µέτρια χαρακτη- 
ριστικά, το μηχάνημα αποδίδει µια χαρά για τις ανάγκες µας: µε συνετές ρυθµίσεις 
έχουµε καταφέρει να τρέχουμε άνετα έως και 6 VMs, ταυτόχρονα. Κατά τα άλλα, то 
PC διαθέτει μία µόνο κάρτα Gigabit Ethernet (μπροστά της έχει ro pfSense box Tou 
τοπικού µας δικτύου) και τη στιγµή της εγκατάστασης διέθετε έναν µόνο δίσκο, χω- 
ρητικότητας 750GB. Λίγο μετά την εγκατάσταση του λειτουργικού προσθέσαμε κι 
έναν δεύτερο δίσκο, χωρητικότητας TTB. Στο συγκεκριµένο δίσκο δώσαμε αποκλει- 
στική κι απευθείας πρόσβαση σε Eva апо та VMs του openSUSE - αλλά επ’ αυτού 
θα συζητήσουμε αργότερα. 


УНАФКЕк 


Σηµείωση. Από rov virtualization host που φτιάχνουμε απουσιάζουν δυνατότητες όπως live 
migration, live backups, clustering к.а. Ακόμη και µε Eva πιο εξειδικευμένο λειτουργικό O- 
στηµα, όπως είναι ro Proxmox VE ή ro vSphere Hypervisor, για κάποιες από тіс προαναφερ- 
θείσες δυνατότητες Ва απαιτούταν εξειδικευμένο, ακριβό hardware (και περισσότερα από 
ἕνα boxes). Από τη στιγµή όµως που δεν έχουµε τόσο υψηλές απαιτήσεις, éva τυπικό PC 
αρκεί. Κι боо για το φλέγον θέµα του backup, χάρη στην πληθώρα των (φθηνών) προτάσεων 
online storage, о κίνδυνος να χάσουμε κρίσιµα δεδοµένα ελαχιστοποιείται. 


Γενικά, η εγκατάσταση του openSUSE δεν παρουσιάζει κάποια ιδιαιτερότητα. Па µε- 


ρικά σηµεία που αξίζουν της προσοχής µας, δείτε τα screenshots που ακολουθούν 
και διαβάστε τις αντίστοιχες περιγραφές. 


Installation Options 


ft 


ἃ 


Help Release Notes... Abort Back [Next | 


Suggested Partitioning 


Edit Proposal Settings 


Create Partition Setup... 


Expert Partitioner... 


Help Release Notes... 
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Clock and Time Zone 


Europe 


> Greece Е 


— 2 Hardware Clock Set to UTC 


E 


Help Release Notes. 


Change Date and Time 


O Manually 


ize with NTP Server 


ө Synchro 


NTP Server Address 


o. opensuse. pool tp. org 


I Run NIP as daemon 
8 Save NT? Configuration 


Help Release Notes... 


List of Online Repositories 


Help | Release Notes.. 


Date and Tme: 2015- Other Settings.. 


Abort | Back 


Synchronize now 


cancel 


List of Repositories 
v Update Repository (Non-Oss) 
„ Main Update Repository 
¥ Main Repository (NON-OSS) 
7 Маһ Repository (OSS) 
Main Repository (DEBUG) 
Untested Updates 
Update Repository (DEBUG) 
Main Reposttory (Sources) 


Repostory Description 


URL: http://download opens or g/update/leac) 
Linked from: http://downioad.opensuse o openSUSE Lea 
Summary: Repostory for official non free updates to openSUSE Leap 42.1 

Description: In this repository you find security and maintenance updates to openSUSE Leap 42.1 
Recommended: Yes 


421 Default.xml 


Abort Next 


УНАФКЕк 


Επιλογή περιβάλλοντος 
γραφικών για µετά την 
εγκατάσταση. Το πλέον 
δημοφιλές μεταξύ των φίλων 
του openSUSE είναι ro KDE. Όχι 
τυχαία, αφού η διανοµή πάντοτε 
το υποστήριζε άψογα. Το ΚΡΕ 
b όµως είναι κάπως βαρύ και 

μάλλον περιττό για τη χρήση 
GNOME Desktop we που σκοπεύουµε να κάνουμε, 
οπότε επιλέγουμε ro GNOME. 


KDE Desktop 


Other 


Οφείλουµε va δημιουργήσουμε 
τουλάχιστον έναν λογαριασμό 
απλού χρήστη. Χρειαζόμαστε 
μόνο έναν και φροντίζουμε 
ώστε: 


* va έχει δικαιώµατα 
διαχείρισης συστήµατος (1), 

“ va λαμβάνει το email του 
root (2), 

* µετά την εκκίνηση του 
λειτουργικού уа συνδεόµαστε 
αυτόματα στο λογαριασμό, 
χωρίς την πληκτρολόγηση του 

% αντίστοιχου password (3). 

Οποιαδήποτε an αυτές τις 

επιλογές είναι δυνατόν 

v' αλλάξει και µετά την 

εγκατάσταση. 


Create New User 


Ιδού όλες οι παράμετροι της 

εγκατάστασης. Πριν ξεκινήσει 

η διαδικασία έχουµε τη 

δυνατότητα να τροποποιήσουµε 

όσες παραμέτρους θέλουμε, 

ώστε μετά το πέρας της 

εγκατάστασης το σύστημα 

να έχει τις ιδιότητες και 

τη συμπεριφορά που εμείς 

επιθυμούμε. Μπορούμε, 

TLX., να καθορίσουμε το 

χρόνο παραμονής του 

μενού του bootloader (1), να 

φροντίσουμε για την παρουσία 

συγκεκριμένων προγραμμάτων 

αµέσως µετά την εγκατάσταση 

(2), va κανονίσουμε ώστε 

μετά την εκκίνηση να unv 

VHS ενεργοποιείται αυτόματα то 

Ξ περιβάλλον γραφικών (9) 
— к.а. Δείτε στα δύο επόμενα 

Hel | | Release Note f δύο παραµετρους 

που πάντα θέλουμε va 

τροποποιούμε. 
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Installation Settings 


Clone System Configuration 


* The AutoYaST prc 


е saved (write it) 


Export Configuration 


Help Release Notes... Abort Back Install 


Installation Settings 


Default systemd target 


hical mo: 


Firewall and SSH 


bled (disa 


Clone System Configuration 


«Тһе AutoYaST profile will not be saved (write it). 


Export Configuration 


Help | Release Notes.. Abort Back Install 


Installation Settings 


m Installation 


nformation required fo 


ontinue 


Clone System Configui 


toYaST profile will not be saved (write it) 


Export Configuration 


Help Release Notes.. Abort Back Install 


VHASKER 


Slide Show Details openSUSE Release Notes 


openSUSE.org 


Performing Installation 
openSUSE 


Deploying Images. 


[Be ] Abort 


Slide Show Details openSUSE Release Notes 


Medi Remaining |Packages Time 


Performing Installation 


Medium 1 


rpm (installec 


Нер. Abort 


Βασικές ρυθμίσεις µετά την εγκατάσταση 


To desktop του GNOME εἰναι εξαιρετικά απλό και, για το γούστο µας αλλά και για 
τον προσανατολισμό του μηχανήματος, πολύ καλά κάνει και είναι εξαιρετικά απλό. 
Ούτως ή άλλως, την περισσότερη ώρα που θα καθόμαστε μπροστά апо το συγκε- 
κριμένο PC θα δουλεύουμε µε ένα ή περισσότερα παράθυρα τερματικού και µε TOV 
λεγόμενο Virt-Manager (https://virt-manager.org). Ακριβώς γι αυτό, ξεκινάμε φέρνο- 
ντας ото panel εφαρμογών ένα παράθυρο για TO GNOME Terminal. 
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Activities Thu 15:39 


Q terminal 


GNOME Terminal ? XTerm 


Konsole 
Terminal 


Activities Thu 15:38 


Q. Type to search. 


© ü ə © 


Е 


cvar@linux-mzg7:~ cvar@linux-mzg7:~ 


New Window 


H| ӨШІР 


Add to Favorites 


Show Details 


VHA@KER 


Από τη στιγµή που έχουµε TO ωραιότατο τερματικό µας, η επόμενη εργασία που 
αξίζει να κάνουμε είναι να φρεσκάρουµε ra repositories πακέτων του openSUSE κι 
αμέσως µετά vq εφαρμόσουμε тіс όποιες διαθέσιµες αναβαθμίσεις. Αμφότερες οι 
εργασίες γίνονται και µε τη βοήθεια του σχετικού module rou YaST, εννοείται όµως 
ότι σαν το τερματικό δεν EXEL. 


cvar@linux-mzg7:~ x 


File Edit View Search Terminal Help 

cvar@linux-mzg7T:-> 

cvar@linux-mzg7:~> sudo zypper ref 

Repository 'Main Repository (NON-OSS)' is up to date. 
Repository 'Update Repository (Non-Oss)' is up to date. 
Repository 'Main Repository (055)! is up to date. 
Repository 'Main Update Repository' is up to date. 
Repository 'openSUSE-42.1-0' is up to date. 
Repository 'openSUSE-Leap-42.1-Update' is up to date. 
All repositories have been refreshed. 
cvaretinux-mzg7: 1 


cvar іпих-т247:” * 

File Edit View Search Terminal Help 

cevar@linux-mzg7:~> 

cvar@linux-mzg7:~> sudo zypper lu 

Loading repository data... 

Reading installed packages... 

S | Repository Name Current Version | Available Version | Arch 
--%------------------------ %-------------------------------------- %----------------- %------------------- %------- 
v Main Update Repository crda 1.1.3-3,2 3.18-5.1 x86_64 
v | Main Update Repository | gnome-settings-daemon 3.16.3-4.1 3.16.4-7.1 x86_64 
v | Main Update Repository | gnome-settings-daemon-lang 3.16.3-4.1 3.16.4-7.1 noarch 
v | Main Update Repository | gnome-shell-search-provider-nautilus | 3.16.2-2.5 3.16.3-5.1 x86_64 
v Main Update Repository iagno 3.16.13. 6 3.16.26. 1 х86 64 
v Main Update Repository iagno-lang 3.16.1-3.6 3.16.2-6.1 noarch 
v Main Update Repository libnautilus-extensionl 3.16.2-2.5 3.16.3-5.1 x86 64 
v Main Update Repository libopenssl1_0_0 1.0.1i-6.1 1.0.1i-9.1 x86 64 
v Main Update Repository libopenssll 0 0-32bit 1.0.1i-6.1 1.0.1i-9.1 x86 64 
v Main Update Repository nautilus 3.16.2-2.5 3.16.3-5.1 x86_64 
v | Main Update Repository | nautilus-lang 3.16.2-2.5 3.16.3-5.1 noarch 
v Main Update Repository openssl 1.0.11-6.1 1.0.1i-9.1 x86 64 


cvar@linux-mzg7:~> 
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cvar@linux-mzg7:~ x 


File Edit View Search Terminal Help 
cvar@linux-mzg7 :~> 
cvar@linux-mzg7:~> sudo zypper up 
Loading repository data... 
Reading installed packages... 


The following 12 packages are going to be upgraded: 
crda gnome-settings-daemon gnome-settings-daemon-lang gnome-shell-search-provider-nautilus iagno iagno-lang 
libnautilus-extensionl libopenssl1_0_0 libopenssll Ө 0-32bit nautilus nautilus-lang openssl 


12 packages to upgrade. 
Overall download size: 6.1 MiB. Already cached: © B. After the operation, additional 17.2 KiB will be used. 
Continue? [y/n/? shows all options] (y): I 


cvar@linux-mzg7:~ x 


File Edit View Search Terminal Help 


cvar@linux-mzg7:-> | 

cvar@linux-mzg7:~> sudo zypper in htop 
Loading repository data... 

Reading installed packages... 
Resolving package dependencies... 


The following 2 NEW packages are going to be installed: 
htop update-desktop-files 


2 new packages to install. 
Overall download size: 82.2 KiB. Already cached: 0 B. After the operation, additional 165.0 KiB will be used. 
Continue? [y/n/? shows all options] (y): 1 


To openSUSE στα µέτρα µας 


Εδώ που έχουµε φτάσει διαθέτουµε ένα σύγχρονο, σταθερό και πλήρως ενηµερω- 
μένο λειτουργικό σύστημα, ικανό να καλύπτει τις καθημερινές µας ανάγκες αλλά 
και πιο εξειδικευμένες, όπως, π.χ. уа αποτελέσει έναν πανίσχυρο virtualization host 
για το τοπικό µας δίκτυο. Ert αυτού έχουμε πολλά να πούμε και να δείξουμε στο åp- 
θρο που ξεκινά από τη σελίδα 80. Προς το παρόν, προκειµένου у αποκτήσουμε µια 
καλύτερη αίσθηση του νέου µας λειτουργικού συστήµατος, πιστεύουμε ότι αξίζει 
να δούµε και va επέµβουµεσε κάποιες ρυθμίσεις που αφορούν oro GNOME desktop 
- αλλά και στο ίδιο το σύστηµα. Ξεκινάμε µε ro desktop. 


Activities Ἃς Settings - Thu 17 Dec, 23:09 


All Settings 


Fersonat 


s GD [ΒΒ Ë Wired Connected 


Background Notifications Online Privacy Region & Battery 0:54 Until Full (46%) 


Accounts Language 


1388 Christos Varelas 


° Os 


Search and Tweak Tool 
Indexing 


Hardware 


Ө | = 0 F 


Bluetooth Keyboard Mouse & Network 
Touchpad 


[4 ὦ. 2 


Power Printers Wacom Tablet 


System 


> ο < 9 


Date & Time Details Package Sharing Universal 
Sources Access 


Θέλουμε τον πίνακα ελέγχου rou GNOME κι ένας τρόπος για va rov έχουµε είναι µε δύο μόλις κλικ, όπως φαίνεται 
στο στιγμιότυπο. Βλέπουμε ένα πλήθος εικονιδίων κατηγοριοποιηµένα ανά είδος ρυθµίσεων (Personal, Hardware και 
System). Προτείνουμε να κάνετε κλικ σε όλα τα εικονίδια και να δείτε τις αντίστοιχες επιλογές µε την ησυχία σας. Στα 
επόμενα στιγμιότυπα δείχνουμε μερικές από τις επεμβάσεις που µας αρέσει να κάνουμε. 


< Privacy x 
— 
Screen Lock Off 
Usage & History On 
Purge Trash & Temporary Files Off 


Location Services EN |) 


Εξ ορισμού, όταν είµαστε συνδεδεμένοι στο λογαριασμό του χρήστη µας αλλά δεν αλληλεπιδρούµε µε TO 
λειτουργικό, µετά апо λίγο η οθόνη "κλειδώνει" και για у αποκτήσουμε ξανά πρόσβαση στο λογαριασμό χρειάζεται να 
πληκτρολογήσουµε το αντίστοιχο password. Από πλευράς ασφαλείας πρόκειται για καλή πρακτική. Το συγκεκριµένο 
PC όµως το χρησιμοποιούμε μόνον εμείς, οπότε то να συνειδητοποιούµε κάθε λίγο και λιγάκι ότι πρέπει να δώσουμε 
password είναι κάπως ενοχλητικό. Π’ αυτό, λοιπόν, θέτουµε Screen Lock = ОН (εικονίδιο Privacy, κατηγορία Personal). 
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| < | Users @ Lock Dz 
My Account Q 
4 Christos Varelas 
2 Christos Varelas e 
= ӨЛ 
== Account Type Standard 
Language English (United States) 
Login Options 
Password ..... 
Automatic Login о | 
Last Login ^ Logged in | History | 


"B 


Tweaks 


E 


Desktop 


Extensions 

Fonts 

Keyboard and Mouse 
Power 

Startup Applications 
Top Bar 

Typing 


Windows 


Workspaces 


Global Dark Theme 


Applications need to be restarted for change to take effect 


Theme 


GTK+ 


Icons 


Cursor 


Shell theme 


Enable animations 


Lox | 


| Adwaita (default) v 
| Adwaita (default) v 
| Adwaita (default) v 
А M 


EX jJ 


V'HAGKER 


| Q Tweaks Windows => El i 
Appearance 
Attached Modal Dialogs 
Desktop Automatically Raise Windows 
Extensions Resize with Secondary-click 


Window Action Key 
Fonts 


Focus Mode 
Keyboard and Mouse 
Titlebar Actions 
Power 
Double-click 
Startup Applications 
ΕΕ Middle-click 
Top B, 
xs Secondary-click 
Typing Titlebar Buttons 
Е Maximize 
Windows 
Minimize 
Workspaces 
HiDPI 
Window scaling 1 * 


Διαχείριση συστήµατος µε то YaST 


To YaST (Yet another Setup Tool) είναι το μοναδικό ίσως πρόγραμμα που ανέκαθεν 
ξεχώριζε то openSUSE από άλλες διανομές Linux. Χωρίς καν уа ro συνειδητοποι- 
ήσουμε, To YaST το γνωρίσαμε ήδη από το στάδιο της εγκατάστασης του λειτουρ- 
γικού. Αργότερα, µέσω των επιµέρους modules που απαρτίζουν την εφαρµογή, 
έχουµε δυνατότητα επέμβασης σε διάφορες όψεις του συστήµατος που αφορούν 
ото hardware, στο software, στη δικτύωση, στην ασφάλεια к.а. Ένας τρόπος για va 
τρέξουµε TO YaST είναι µε κλικ στο σχετικό εικονίδιο του πίνακα ελέγχου (βλ. κατη- 
γορία System). Στο δεύτερο άρθρο της μίνι σειράς µας θα ξεκινήσουμε µε то YaST, 
WOTE ма μετατρέψουμετο PC µας oe virtualization host. Προς ro παρόν, δείτε μερικά 
опо τα modules του προγράµµατος σε δράση. 
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YaST Control Center @ ohsuse 


ΤΕ 
Search | Bj rce-on Products Q Media Check 


2 Online Update a Software Management 
Ы Hardware 


” 
E System I; software Repositories 


% Network Services 


A Security and Users 


Hardware 


@ Hardware Information Е Printer 
Scanner быға 


a System Keyboard Layout 


System 


Ж /etc/sysconfig Editor 


2 Date and Time 


Kernel Settings 


| {Network Settings 


File Package Configuration Dependencies Options Extras Help 


View Search RPNH Groups Installation Summary 


| rtorrent = Search 
У Package Summary Installed (Availa Size 


Search in mene Console-based BitTorrent Client — (094-53) 1.4 MiB 


Ж. rtorrent-vim Vim syntax file for rTorrent's config file (0.9.4-5.3) 1003B 
М Name 


М Keywords 


Description 
RPM "Provides" 

LJ RPM "Requires" 
File list 


Search Mode: Description Technical Data | Dependencies Versions | File List | Change Log 


Contains 


rtorrent - Console-based BitTorrent Client 


ΤΙ Case Sensitive rTorrent is a console-based BitTorrent client. It aims to be a fully-featured and efficient client 
J with the ability to run in the background using screen. It supports fast-resume and session 
management. 
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YaST2 - Boot Loader 


Boot Loader Settings 


Boot Code Options Kernel Parameters Bootloader Options 


Timeout in Seconds М Probe Foreign OS 


5 7C Hide Menu on Boot 


Default Boot Section 
openSUSE Leap 42.1 


Protect Boot Loader with Password 
v Modification Only 


Сама”) 


YaST2 - Language 
Languages 


Primary Language Settings 


Primary Language 


| English (US) Details | 


J Adapt Keyboard Layout to English ( 


Adapt Time Zone to / US/Eastern 


Secondary Languages 
English (US) 
Estonian 


Finnish 

French 

Galician 

Georgian 

German 
cee 
Gujarati 

Hebrew 

Hindi 


Help 


Προσωπικό cloud µε To openSUSE [μέρος 1/2] 


Performing Installation 


Media Remaining Packages Time 


Total 


Actions performed: 


———————————————————————X 


Downloading thessalonica-theano-otf-fonts (download size 512 KiB) 
Downloading thryomanes-fonts (download size 515.4 KiB) 

Downloading yast2-trans-el (download size 586.3 KiB) 

Downloading google-croscore-fonts (download size 5.4 KiB) 

Downloading libreoffice-L1On-el (download size 3.59 MiB) 

Downloading MozillaFirefox-translations-common (download size 8.86 MiB) 


Downloading MozillaFirefox-translations-common - 912.3 KiB/s (on average 922.6 KiB/s) (download size 8.86 MiB) 


| 17% J 


Installing Packages... (Remaining: O packages) 


Expert Partitioner 


System View {55 нага Disk: /dev/sda 
м [8 ohsuse 


ν [Š Hard Disks 
— eut sda3 
T 85.99 GiB 


Device Size F Enc Type FS Type Label Mount Point Start End 

----. OG e σας op — 0 261 
dev /sda 2 40.00 GiB Linux native BtrFS 261 5484 
dev /sda3 85.99 GiB Linux native ХҒ5 5484 16708 


Overview Partitions 


volume Management 
=i Crypt Files 
[e Device Mapper 
ΓΒ Νες 
B Btrfs 
Е tmpfs 
” Unused Devices 
db Device Graph 
di Mount Graph 
(2% Installation Summary 


Settings 


| Resize... Delete... 


29 


Start-Up 
Interfaces 
AEE 
Masquerading 
Broadcast 
Logging Level 
Custom Rules 


Rules for sudo 
User Aliases 
RunAs Aliases 
Host Aliases 


Command Aliases 


Firewall Configuration: Allowed Services 


Allowed Services for Selected Zone 


External Zone 


Service to Allow 


DHCPv4 Server 


Allowed Service 


Secure Shell Server 


Description 


Open ports for Secure Shell Server 


Protect Firewall from Internal Zone 


imu cipe 


Sudo Configuration: Rules for sudo 


Users Hosts 


ALL 
root 


cvar 


Runas NOPASSWD 
(ALL) No 

(ALL) No 

(ALL) 


| Advanced... 


canca) (e 


Commands 
ALL 
ALL 
ALL 


Hmm 
zs | 
— 


Digital Ocean 


Тахотата VPSes στο cloud, σε hosts µε δίσκους SSD. 
Επιθογή datacenter σε Ευρώπη, Αμεριηή kai Ασία. 
Lean-mean control panel, για απόϑυτο έθεγχο. 


Αποητήστε τώρα το δικό cas VPS, 

στο cloud tns DigitalOcean. 

Κάντε кйік στο http://bit.ly/digocean10off 
και κερδίστε αυτομάτως 105 σε credit. 


Hint: Επιῆέγοντας το μικρό πϑάνο, 

Πάντα με μῆιη στο http: //bit. ly/digocean1 Ooff, 
ουσιαστιμά έχετε δύο µήνες δωρεάν για ένα VPS 
µε 512МВ RAM, 20GB SSD μαι 1ΤΒ transfer. 


E Δεν είναι кі άσχημα 


Skill: Intermediate 
Tags: NAT, aliases, gateways, traceroute, packet capture, pfSense, OpenVPN 


H ζωή µε τον 
OpenVPN-enabled 
router µας 


Στο τεύχος 048 δείξαµε πώς στήνουμε έναν OpenVPN Access Server στο cloud 
και στη συνέχεια πώς ρυθµίζουµε έναν τοπικό pfSense-based router, ὦστε уа 
λειτουργεί ως πελάτης του. Το αποτέλεσµα είναι ότι όλα τα μηχανήματα και 
οι συσκευές πίσω απὀ τον router βγαίνουν στο Internet µέσω ενός ασφαλούς 

κρυπτογραφημένου τούνελ. Oa περίμενε Κανείς ότι беу θα είχαμε κάτι άλλο va 

συζητήσουμε επί του θέματος. Θα περίµενε λάθος, ο Κανείς αυτός. 


του Χρήστου Βαρελά 


Έτσι είναι τα πράγματα µε ro deltaHacker, φίλες και φίλοι. Συχνά ξεκινάμε µε ένα 
ενδιαφέρον, κατά την κρίση µας, θέµα, µετά από ένα ñ περισσότερα άρθρα φτάνουμε 
σε EVA ικανοποιητικό σηµείο όπου όλα λειτουργούν σωστά κι όλοι εἶναι ευχαριστη- 
μένοι, ξαφνικά όμως συνειδητοποιούµε ότι υπάρχει κι EVA ολόκληρο υπό-σύμπαν 
για το οποίο беу έχουµε γράψει ούτε µια λέξη ακόµα - ενώ ба έπρεπε. Αυτή τη 
φορά, αφού φροντίσαμε WOTE όλοι οιπελάτες του pfSense να βγαίνουν στο Internet 
*aurópara* µέσω του απομακρυσμένου OpenVPN Access Server, σκεφτήκαμε OTL 
εἶναι αδύνατον να κλείσουμε το θέµα av пршта беу δείξουμε πώς: 


* βελτιστοποιούµε τη συμπεριφορά του Access Server, 
"φέρνουμε στα µέτρα µας τη συμπεριφορά rou pfSense router, 
* βεβαιωνόµαστε ότι όλα δουλεύουν όπως ακριβώς θέλουμε. 


Χωρίς άλλη καθυστέρηση ξεκινάμε µε TO NAT, éva χρεωστούμενο από το άρθρο στο 
http://deltahacker.gr/actsubs-ovpn-for-lan. 


Τι είναι αυτό το МАТ και γιατί µας απασχόλησε; 


Μετά την πρώτη εγκαθίδρυση σύνδεσης μεταξύ pfSense router και OpenVPN Access 
Server, Ва θυμόσαστε ίσως ότι όλες οι συσκευές πίσω από rov router έδειχναν avi- 
κανες να βγουν στο Internet. H κατάσταση οµαλοποιήθηκε μόνον αφού προσθέσαµε 
στο firewall έναν κανόνα Outbound МАТ για To DefiantVPN (έτσι έχουµε ονομάσει το 
network interface γιατις συνδέσεις προς τον Access Server). 
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H ζωή µε τον OpenVPN-enabled router µας 


Γενικά, µε τον όρο Network Address Translation ή απλά NAT αναφερόμαστε σε µεθό- 
ὅους αντιστοίχισης μεταξύ δύο διαφορετικών IP spaces. Οι αντιστοιχίσεις праүра- 
τοποιούνται αλλάζοντας κατάλληλα τα headers στα πακέτα IP, καθώς αυτά διέρχο- 
νται από συσκευές δρομολόγησης. Το ΝΑΤ αρχικά χρησίμευε yia TN διευκόλυνση της 
αναδροµολόγησης των πακέτων στα δίκτυα ΙΡ. Εδώ και πολλά χρόνια όµως αποτε- 
Asi éva πολύτιμο εργαλείο για τη διαχείριση των δημόσιων διευθύνσεων ІРуд, Еу 
όψει μάλιστα της εξάντλησής τους. 


Υπάρχουν πολλά είδη NAT και για να εξηγήσουμε πώς ακριβώς δουλεύουν οι σχε- 
τικές μέθοδοι αντιστοίχισης θα χρειαζόμασταν «τουλάχιστον: ένα εκτενές άρθρο. 
Στο πλαίσιο του παρόντος αρκεί να πούμε OTL, από τη σκοπιά του Μέσου Παπαδό- 
πουλου (TM), то NAT μάς επιτρέπει να βγάζουμε στο Internet όσες από тіс συσκευές 
μας θέλουμε, µε "μία μόνον δημόσια διεύθυνση ІР: αυτή που έχει πάρει ο router µας 
από τον ISP. 


Αναλυτικότερα, οι συσκευές µας συνδέονται -ενσύρματα rj ασύρματα- στον 
router και, χάρη στον DHCP server του, παίρνουν ωραιότατες αλλά non-routable 
διευθύνσεις ΙΡ, π.χ. της μορφής 192.168.0.0/24 ἡ της μορφής 10.0.0.0/24 (βλ. και 
http://deltahacker.gr/hownetsworkpart2b). Οι διευθύνσεις αυτές είναι µια χαρά για 
EVA τοπικό δίκτυο αλλά *Óxt* για ro Internet. Ευτυχώς, κάθε φορά που µία συσκευή 
χρειάζεται να συνδεθεί σε web site ñ γενικά σε υπηρεσία του Διαδικτύου, ο router 
αλλάζει τη non-routable διεύθυνση πηγής (source ІР) στα headers των σχετικών πα- 
κέτων και βάζει στη θέση της εκείνη που έχει πάρει από τον ISP και είναι routable 
για το Διαδίκτυο (ακριβέστερα: για το δίκτυο "μπροστά" από rov router). Έτσι, τα 
πακέτα είναι σε θέση να ταξιδεύουν Εκεί Έξω (TM) και µετά βασάνων και κόπων уа 
φτάνουν στους προορισμούς τους. Όταν τώρα αποστέλλεται µια απάντηση από κά- 
ποιον LVTEPVETLKO server, εν εἰδει πακέτου ΙΡ, εκείνος που τη λαμβάνει είναι πάντα o 
ακούραστος router µας. Χάρη σε σχετικό πίνακα που τηρεί, o router ξέρει OTL ο πραγ- 
ματικός αποδέκτης του πακέτου беу εἰναι ο ἰδιος αλλά η συσκευή που ξεκίνησε 
την επικοινωνία µε τον Server. Αλλάζει, λοιπόν, το δημόσιο ΙΡ στο πεδίο "destination 
ІР" στο header του πακέτου, στη θέση του βάζει την εσωτερική’ διεύθυνση IP της 
συσκευής που εἰναι υπεύθυνη για όλη αυτή την αναστάτωση, κι αµέσως στέλνει TO 
πακέτο προς τα εκεί που πρέπει. 


Τώρα, κατά την αρχική ρύθμιση του pfSense οι κανόνες NAT үа ra пакёта rtou εξέρ- 
χονται από то WAN interface προστίθενται αυτόματα ото firewall ruleset. Δεν συμβαί- 
νει όμως το (Oto και για TO network interface που δημιουργείται αµέσως μετάτη ρύθ- 
шоп του OpenVPN client. To ev λόγω interface εμείς το ovoudoaus DefiantVPN kat yta 
τον ορισμό κανόνων NAT που επιδρούν στα πακέτα που διέρχονται απ’ αυτό δώσαμε 
Firewall > ΝΑΤ > Outbound > Manual Outbound NAT rule generation (AON - Advanced 
Outbound NAT). О νέος κανόνας NAT που προσθέσαµε αφορά σε бла та πακέτα που 
εξέρχονται από ro DefiantVPN, άσχετα από ποιο μηχάνημα ξεκινούν, ανεξαρτήτως 
του πρωτοκόλλου στο οποίο αφορούν (TCP, UDP, ICMP κ.ά), κι ανεξαρτήτως του 
προορισμού τους. Στο screenshot που ακολουθεί προσέξτε την παράμετρο Address 
(περιοχή Translation), για την οποία επιλέξαμε την τιµή Interface address: Πρόκει- 
ται για τη διεύθυνση ΙΡ που αποδίδεται στο DeflantVPN από τον απομακρυσμένο 
OpenVPN Access Server (και για το δικό µας setup είναι η 172.27.232.2). Αυτή τη OL 
εύθυνση βάζει στο πεδίο "source IP" των εξερχόµενων πακέτων, ο κανόνας NAT που 
ορίσαµε μόλις. 
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eee < Ë 3 u & pfsense/firewall_nat_out_edit.php?id=0 e th т 8 


» System » Interfaces * Firewall » Services > VPN » Status * Diagnostics » Gold > Help 


Firewall: NAT: Outbound: Edit 


Edit Advanced Outbound NAT entry 


Disabled disable this rule 
Set this option to disable this rule without removing it from the list. 


Do not МАТ (7 Enabling this option will disable NAT for traffic matching this rule and stop processing Outbound NAT rules. 
Hint: in most cases, you won't use this option. 


Interface DEFIANTVPN [Z 


Choose which interface this rule applies to. 
Hint: in most cases, you'll want to use WAN here. 


any 
Choose which protocol this rule should match. 
Hint: in most cases, you should specify any here. 


Type: any 


Address: / 


Enter the source network for the outbound ΝΑΤ mapping. 


Source port: EE (leave blank for any) 


Destination not 
Use this option to invert the sense of the match. 


Type: any 


Address: / 


Enter the destination network for the outbound ΝΑΤ mapping. 


Destination port: E (leave blank for any) 


— M. 
Address: | Interface address B 
Packets matching this rule will be mapped to the IP address given here. 
If you want this rule to apply to another IP address rather than the IP address of the interface chosen above, 
i select it here (you will need to define Virtual IP addresses on the interface first). 


өс N 


Enter the source port for the outbound МАТ mapping. 
Static- D 
port: = 


H σύνδεση µε τον Access Server διακόπτεται :/ 


Μετά τη ρύθμιση rou pfSense router ώστε να λειτουργεί we client για τον OpenVPN 
Access Server, πιθανώς θα παρατηρήσατε ότι η σύνδεση προς TO апонакросив- 
vo μηχάνημα έχει µια τάση να διακόπτεται. Αν κάνετε όπως εμείς κι αφήνετε τον 
OpenVPN client να λειτουργεί αδιάκοπα, είναι «βέβαιος ότι θα το έχετε παρατηρή- 
σει. Δεν πρόκειται για φαινόμενο που συμβαίνει τυχαία, π.χ., εξαιτίας κάποιου bug. 
Κάθε άλλο: Αυτή ακριβώς είναι η προκαθορισμένη συμπεριφορά του Access Server, 
για τα profiles χρηστών µε το auto-login απενεργοποιηµένο. (Οι χρήστες µε τέτοια 
προφίλ, εκτός апо το va κατέχουν το κατάλληλο ιδιωτικό κλειδί και πιστοποιητικό, 
κατά τη σύνδεσή τους πρέπει να παρέχουν username και password.) 


Εξ ορισμού, λοιπόν, о Access Server διακόπτειτις συνδέσεις των προφίλ χωρίς auto- 
login κάθε 86.400 δευτερόλεπτα, δηλαδή κάθε 24 ὠρες. Ευτυχώς, μπορούμε να αλ- 
λάξουµε τη σχετική παράμετρο καινατης αποδώσουµε μιαπολύ μεγάλη τιμή, WOTE 
στην πράξη οι αποσυνδέσεις να µην έχουν καμία ευκαιρία να συμβαίνουν. Θέτοντας 
το χρόνο για την αποσύνδεση, π.χ., στα 31.104.000 δευτερόλεπτα (360 μέρες), είναι 


34 


H ζωή µε τον OpenVPN-enabled router µας 


βέβαιο ότι πριν о Access Server προλάβει να διακόψει συνδέσεις θα έχουµε κάνει 
εμείς κάποιο reboot, T.X., λόγω κάποιου major upgrade στο pfSense ή λόγω αναβάθ- 
µισης του πυρήνα στο λειτουργικό που τρέχει ro VPS rou Access Server. 


eee < [18] ж о 8 defiant.gr:943/admin/log_reports Â = 
Client Settings Node Username start Time Duration] Service Real IP VPN IP Proto Port Bytes In Bytes Out Error 
defiant.gr openvpn 11/17/15 00:09 WEB ADMIN 172.27.232.6 
Failover 
defiant.gr openvpn 11/17/15 00:21 EB CLIENT 172.27.232.6 
User Management defiant.gr pfsense 11/17/15 00:25] VPN 87.203.193.11 172.27.232.2 UDP 1194 5.44KB 5.41 KB 
defiantgr pfsense 11/17/15 00:26 T VPN 87.203.193.11 172.27.232.3 UDP 1194 14247 MB 1.77GB SESSIONLID not on (may have 
User Permissions expire 
defiant.gr openvpn 11/17/15 00:26 WEB ADMIN 172.27.232.3 
Group Permissions 
defiant.gr openvpn 11/17/15 00:28 WEB АОМІМ 87.203.193.11 


Revoke Certificates 


SESSION 10 not found (may have 


defiant. gr pfsense 11/18/15 04:52 Ë 87.203.193.11 172.27.232.4 UDP 1194 142.55 MB 1.21GB expired) 
š š 5 SESSION_ID not found (may have 

Authentication  [deñantəgr pfsense 11/19/15 04:54 : 87.203.193.11 172.27.232.5 UDP 1194 94.03 МВ 765.15 MB δὴ 
G I defiant.gr pfsense 11/20/15 12:56 5 87.203.208.151 172.27.232.6 UDP 1194 62.65 МЕ 397.64 Mg SESSION_ID not found (may have 

enera 

defiantgr pfsense 11/21/15 13:59 K 87.203.208.151 172.27.232.7 UDP 1194 95.16 MB 461.67 МВ SESSIONID not found (may have 

PAM pired) 
SESSION. ID not found (may have 

6 Я 4 GI » 
RADIUS defiantgr pfsense 11/22/15 14:1 : 87.203.208.151 172.27.232.8 UDP 1194 110.32 MB 1.03 GB ΕΠΕ 
LDAP defiant.gr pfsense 11/23/15 14:5 VPN 357.203.208.151 172.27.232.9 UDP 1194 2.10MB 5.42 MB 
A 
defiant.gr openvpn 11/23/15 14:5 WEB ADMIN. 87.203.208.151 


Παρατηρώντας ro log file του OpenVPN Access Server μέσα апо web panel διαχείρισης, εύκολα διαπιστώνουμε ότι o server 
αποσυνδέει τον έναν και μοναδικό του client κάθε 24 ώρες. О εν λόγω client είναι o pfSense router µας κι αυτή η κατάσταση 
ре τις αποσυνδέσεις πρέπει να σταματήσει, αφού δημιουργούνται προβλήματα στις συσκευές πίσω από Tov router. 


Προκειμένου у αλλάξουμε το χρόνο үа rnv αποσύνδεση, συνδεόµαστε ото VPS του 
OpenVPN Access Server μέσω SSH και πληκτρολογούμε: 


sub0@defiant:~$ sudo /usr/local/openvpn as/scripts/sacli --key vpn. server. 
session expire --value 31536000 ConfigPut 


sub0@defiant:~$ sudo /usr/local/openvpn as/scripts/sacli start 


Н παράμετρος nou επηρεάσαµε εἰναι n vpn.server.session. expire. Παρεμπιπτόντως, 
όλες οι rtapáugrpor που καθορίζουν τη συμπεριφορά rou OpenVPN Access Server 
τηρούνται στην SQLite database ονόματι config.db, κάτω апо ro /usr/local/openvpn_ 
as/etc/db. 


999 evar — subOGdefiant; - — ssh — 130x40 — 3⁄1 

sub@@def ¿ant :-$ 

sub@@defiant:-$ sudo /usr/local/openvpn as/scripts/sacli --key vpn.server.session expire --value 31536000 ConfigPut 
sub0@def tant :~$ 

sub@@defiant:~$ sudo /usr/local/openvpn as/scripts/sacli start 

RunStart warm None 


"active profile": "Default", 
"errors": U, 


Έχοντας συνδεθεί µέσω SSH στο VPS 

τ ος που τρέχει о OpenVPN Access Server, 
"iptables Live": "on", αλλάζουμε την τιµή αποσύνδεσης για 
Pulvis pet NU τους χρήστες тоо Access Server με 
προφίλ χωρίς" auto-login. Στο εξής, ot 
αυτόματες αποσυνδέσεις θα γίνονται 
κάθε ένα χρόνο. Στο μεταξύ, είναι 
σχεδόν σίγουρο πως ούτως ή άλλως 
θα έχουµε επανεκκινήσει To pfSense 

ή το λειτουργικό του VPS, π.χ., λόγω 


H 
WILL RESTART (1 fi , 
subg@defíant:-$ Ü ауаВабшопс του πυρήνα. 


} 
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Επιλεκτική δρομολόγηση µέσω VPN 


H δρομολόγηση της δικτυακής κίνησης µέσω του απομακρυσμένου Access Server 
συχνά EXEL αρνητική επίπτωση στην ταχύτητα. Н επίπτωση αυτή άλλοτε εἶναι npa- 
κτικά αμελητέα, άλλες φορές όµως беу περνά απαρατήρητη. Όλα εξαρτώνται апо 
TO εἰδος της διαδικτυακής υπηρεσίας που προσπελαύνουμε. Παράδειγμα: Πατυπικό 
web browsing, το πιθανότερο είναι va µην αντιλαμβανόμαστε την όποια µείωση στην 
ταχύτητα. Αν βέβαια o web server που επισκεπτόµαστε είναι γεωγραφικά κοντά µας 
ή/και δεν διαθέτει το καλύτερο bandwidth, το va rov προσεγγίζουμε, π.χ. µέσω data 
center στη Νέα Υόρκη, σίγουρα απέχει από το βέλτιστο - πάντα όσον αφορά στην TA- 
χύτητα. (O OpenVPN Access Server που διαχειριζόµαστε κατοικεί σε data center στη 
Νέα Υόρκη.) Άλλο παράδειγµα: Στο τοπικό µας δίκτυο ίσως έχουµε ένα μηχάνημα ro 
οποίο χρησιμοποιούμε κυρίως για online gaming, οπότε ειδικά αυτό καλό εἰναι να 
μη βαίνει έξω μέσω VPN. Μπορεί βέβαια να ισχύει και το αντίστροφο: μέσω Access 
Server va θέλουμε να βγαίνουν oro Internet συγκεκριµένα µόνο μηχανήματα. H καλύ- 
τερη λύση για σενάρια σαν τα προαναφερθέντα, είναι να προσθέσουμε oro ruleset 
του firewall κανόνες που θα φροντίζουν για ένα ñ περισσότερα από τα ακόλουθα: 


* όταν επισκεπτόµαστε συγκεκριµένα sites να µην τα προσεγγίζουµε μέσω rou ISP 


* όταν επισκεπτόµαστε συγκεκριµένα sites va τα προσεγγίζουμε µέσω του Access 
Server 


* µόνο боүкекрциеуес συσκευές του τοπικού δικτύου να βγαίνουν έξω µέσω rou ISP 


* µόνο συγκεκριμένες συσκευές του τοπικού δικτύου να βγαίνουν έξω µέσω TOU 
Access Server 


Ta προηγούμενα ra πετυχαίνουµε προσθέτοντας τους κατάλληλους κανόνες ото 
firewall του pfSense, για το network interface που βλέπουν οι πελάτες και βεβαίως 
με τη σωστή σειρά. Είναι πολύ πιθανό να έχουµε πολλές υπηρεσίες, συσκευές ñ 
sites για τα οποία επιθυμούμε εξαιρέσεις µέσω κανόνων. O βέλτιστος τρόπος про- 
κειμένου να τους ορίσουμε και να τους διαχειριζόµαστε εἰναι µε τη βοήθεια των 
λεγόμενων aliases. 


Τα aliases του pfSense 


Ta aliases μπορούμε va та φανταζόμαστε ως λίστες µε ένα ή περισσότερα ομοειδή 
στοιχεία. Αναφερόμενοι σε στοιχεία εννοούμε ports, hosts ñ ολόκληρα δίκτυα. Ένα 
alias, για παράδειγµα, µπορεί να ισούται µε τη λίστα (22, 80, 443, 1194), όπου Ta OTOL- 
χεία της είναι TCP ports που εἰναι προσβάσιμα από το Intetnet. Άλλο alias ίσως Tau- 
τίζεται µε τη λίστα (192.168.10.5, 192.168.10.95}, όπου τα μηχανήματα µε διευθύνσεις 
192.168.10.5 και 192.168.10.95 βγαίνουν στον έξω κόσμο πάντα µέσω VPN. Κάποιο 
άλλο alias µπορεί να ταυτίζεται µε τη λίστα (192.168.100.0/24, 192.168.150.0/24}, 
ώστε να περιγράφει τα δίκτυα για τα οποία η πρόσβαση στο Internet επιτρέπεται 
μόνο κατά συγκεκριµένα χρονικά διαστήματα µέσα στο εικοσιτετράωρο. Ta aliases 
με hosts, αντί για IPs επιτρέπεται να έχουν και FQDNs. Έτσι, εἶναι δυνατόν να δια- 
θέτουμε, π.χ. éva alias που ισούται µε τη λίστα {deltahacker.gr, parabing.com, colder. 
xyz}, WOTE σε καθένα апо αυτά τα sites να φτάνουμε πάντα µέσω rou ISP µας κι όχι 
μέσω απομακρυσμένου VPN server. Στην περίπτωση που σε éva FQDN αντιστοιχούν 
περισσότερα απὀ éva IPs, στη λίστα λαμβάνονται υπόψη όλα. 


36 


H ζωή µε τον OpenVPN-enabled router µας 


еее D суа! — bash — 85x35 — 981 


mbpr15:~ cvar$ 
тбрг15:~ cvar$ dig softpedia.com 


; <<> DiG 9.8.3-P1 <<>> softpedia.com 

;; global options: +cmd 

;; Got answer: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40849 

;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 3, ADDITIONAL: 3 


3; QUESTION SECTION: 
;softpedia.com. IN A 


;; ANSWER SECTION: 


softpedia.com. 3600 IN A 64.225.158.192 
softpedia.com. 3600 IN A 64.225.158.189 
softpedia.com. 3600 IN A 64.225.158.190 
softpedia.com. 3600 IN A 64.225.158.191 

3; AUTHORITY SECTION: 

softpedia.com. 2304 IN NS ns3.softpedia.com. 
softpedia.com. 2304 IN NS ns2.softpedia.com. 
softpedia.com. 2304 IN NS ns.softpedia.com. 
;; ADDITIONAL SECTION: 

ns3.softpedia.com. 2304 IN A 64.225.152.196 
ns2.softpedia.com. 2304 IN A 64.225.152.196 
ns.softpedia.com. 2304 IN A 128.140.224.120 


3; Query time: 526 msec 

3; SERVER: 192.168.10.254#53(192.168.10.254) 
3; WHEN: Wed Dec 2 20:11:08 2015 

;; MSG SIZE rcvd: 196 


mbpr 15: cvar$ ῄ 


Σε περίπτωση nou σ ένα alias υπάρχει FQDN στο οποίο αντιστοιχούν περισσότερες 
апо μία διευθύνσεις ΙΡ, όπως, π.χ., συμβαίνει µε το softpedia.com, στο alias θα είναι 
σαν να περιλαμβάνονται όλες αυτές οι διευθύνσεις. 
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To πόσο βολικά είναι Ta aliases καταδεικνύεται όταν τα χρησιμοποιούμε σε κανό- 
vec TOU firewall. Περισσότερα επ’ αυτού Ва δούμε σε πολύ λίγο. Προς το παρόν, ας 
υπογραμµίσουµε την ευκολία που παρέχουν: Χάρη o' αυτά, κάθε фора που Eva ή TE- 
ρισσότερα ports/hosts/O(krua πρέπει v' αλλάξουν, οι συνεπακόλουθες αλλαγές στα 
rulesets rou firewall ελαχιστοποιούνται. Το μόνο που απαιτείται από μέρους µας εἰναι 
να ορίζουμε aliases ἔχοντας ξεκαθαρισµένο το ρόλο τους. Βοηθά, βεβαίως, va тоос 
δίνουμε και περιγραφικά ονόματα. Περιττό επίσης να σημειώσουμε ότι στα aliases 
μπορούμε να προσθέτουμε ñ να αφαιρούμε µέλη όποτε θέλουμε, και η ισχύς των 
εμπλεκομένων κανόνων θα επεκτείνεται ή θα περιορίζεται αντιστοίχως. Όμως ας 
αφήσουμε τη γενική συζήτηση κι ας δούμε δύο παραδείγματα aliases, τα οποία έχου- 
µε ορισμένα στον δικό µας pfSense router. 


еее < E 3t u 8 pfsense/firewall aliases.php?tab-ip e o eh ші mm 


» System Interfaces Firewall Services > VPN » Status » Diagnostics » Gold » Help 
Firewall: Aliases 
» Ports | unis [an | 


VPNed. hosts 192.168.10.5, 192.168.10.95 ШЕЛІ that go out through an encrypted 


nbg.gr, gsis.gr, alpha.gr, colder.xyz, cosmote.gr, login.gsis.gr, 
via_ISP deltahacker.gr, www.alpha.gr, secure.alpha.gr, Always reach those hosts via WAN 
www.winbank.gr... 


Note: 


Aliases act as placeholders for real hosts, networks or ports. They can be used to minimize the number of changes that have to be made if 
a host, network or port changes. You can enter the name of an alias instead of the host, network or port in all fields that have a red 
background. The alias will be resolved according to the list above. If an alias cannot be resolved (e.g. because you deleted it), the 


corresponding element (e.g. filter/NAT/shaper rule) will be considered invalid and skipped. 


Εφαρμογή 1: Παράκαμψη VPN για συγκεκριµένα sites 


Μεταξύ των υπηρεσιών και των sites που εμείς χρησιμοποιούμε κι επισκεπτόµα- 
στε συχνά, υπάρχουν ορισμένα στα οποία αφενός δεν EXEL πολύ νόηµα va φτάνου- 
µε µέσω VPN tunnel, αφετέρου η πρόσβαση γίνεται κάπως αργά µέσω rou апора- 
κρυσμένου Server. Στα προαναφερθέντα sites συγκαταλέγονται τα συστήματα web 
banking ελληνικών τραπεζών, то TAXIS, εκείνα κάποιων τηλεπικοινωνιακών φορέ- 
ων κ.ά. Δημιουργήσαμε έτσι Eva νέο alias ονόματι via. ISP, το οποίο περιλαμβάνει 
όλα αυτά ra sites κι όχι μόνο. Επιπλέον, EXEL και κάποια, όπως, π.χ. TO ruv.is, τα οποία 
φιλοξενούνται σε servers στο εξωτερικό και η πρόσβαση апо Θεσσαλονίκη µέσω 
Νέας Υόρκης γίνεται αργά - ειδικά όταν μιλάμε για video streaming. 
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Μπροστά ano το pfSense box βρίσκεται το ADSL modem/router που ἔχουμε πάρει 
amo τον ISP. To IP που έχει To LAN interface του modem/router εἶναι 192.168.1.1 και 
μερικές φορές χρειάζεται να συνδεόµαστε oro web panel της συσκευής, γι αυτό και 
στο alias ονόματι via. ISP έχουµε συμπεριλάβει то 192.168.1.1. (C αυτή τη διεύθυνση 
είναι αδύνατο να φτάνουμε µέσω του Access Server) Στο via. ISP συμπεριλαμβάνε- 
ται και ro defiant.gr, то οποίο είναι το FQDN του VPS όπου κατοικεί о Access Server. 
> αυτό το VPS θέλουμε, προφανώς, να φτάνουμε από οποιαδήποτε συσκευή, ασχέ- 
τως TOU αν βγαίνει στο Internet µέσω ISP ñ µέσω Access Server. 


Στη λίστα Tou via. ISP υπάρχει και To colder.xyz: Πρόκειται για éva VPS σε data center 
στη Φρανκφούρτη που φιλοξενεί το ομώνυμο static site, καθώς κι έναν mail server 
που λειτουργούμε εκεί (βλ. και http://deltahacker.gr/?p=14096). Па ro static site беу 
μας πειράζει και τόσο, όμως беу βλέπουμε το λόγο va διακινούμε την ηλεκτρονική 
μας αλληλογραφία µέσω Νέας Υόρκης. 


Αφού ορίσαµε το alias ονόματι via. ISP, ἔμενε να προσθέσουμε έναν σχετικό κανόνα 
στο ruleset του pfSense firewall - βεβαίως για το κατάλληλο network interface. Me- 
ρισσότερα επ αυτού σε πολύ λίγο. 


eee < Е жӛ A pfsense/firewall_aliases_edit.php?id=0 [v o m go ЕН 


* System » Interfaces » Firewall * Services » VPN » Status * Diagnostics Gold » Help 


Firewall: Aliases: Edit 


Alias Edit 


Name Vas ISP Е 
The name of the alias may only consist of the characters "a-z, A-Z, 0-9 and _". 


сна Always reach those hosts via WAN 
You may enter a description here for your reference (not parsed). 


Type Host(s) 


1 Enter as many hosts as you would like. Hosts must be specified by their IP address or fully qualified domain name F 
+ (FQDN). FQDN hostnames are periodically re-resolved and updated. If multiple IPs are returned by a DNS query, all ere 
1 used. You may also enter ап IP range such as 192.168.1.1-192.168.1.10 or a small subnet such as 192.168.1.16/28 and : 
* a list of individual IP addresses will be generated. H 


+) %, Entry added Tue, 27 Oct 2015 14:08:21 +0200 
М ` Entry added Tue, 27 Oct 2015 14:08:21 +0200 
Entry added Tue, 27 Oct 2015 14:08:21 +0200 
τ ` Entry added Tue, 27 Oct 2015 14:08:21 +0200 
cosmote.gr Entry added Tue, 27 Oct 2015 14:08:21 +0200 
login.gsis.gr $ μὴ Entry added Tue, 27 Oct 2015 14:08:21 +0200 
deltahacker.gr ` Entry added Tue, 27 Oct 2015 14:08:21 +0200 
www.alpha.gr Entry added Tue, 27 Oct 2015 14:08:21 +0200 


secure.alpha.gr Ы Ly Entry added Tue, 27 Oct 2015 14:08:21 +0200 


www.winbank.gr Entry added Tue, 27 Oct 2015 14:08:21 +0200 


be b hd d fed fd 


Entry added Tue, 27 Oct 2015 14:08:21 +0200 
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Εφαρµογή 2: Χρήση VPN για συγκεκριµένα hosts 


Στο τοπικό µας δίκτυο πίσω апо ro pfSense, αυτή τη στιγμή υπάρχει Evac δικτυακός 
εκτυπωτής, Eva tablet, δύο smartphones, δύο laptops, Eva PC µε то РгохМох VE, ένα 
VM µε Ubuntu Server σε ρόλο Dropbox node, καθώς κι éva VM µε Ubuntu Desktop που 
EXEL χρέη Bitcoin full node. Μιλάμε, μ' άλλα λόγια, για εννέα διαφορετικούς clients. 
Πα λόγους που беу χρειάζεται να παραθέσουµε τώρα, δύο µόνο από τις εννέα au- 
τές συσκευές EXEL νόημα (και είναι επιθυμητό) να βγαίνουν διαρκώς oro Internet 
µέσω Access Server: το ένα απὀ τα δύο laptops και το éva από τα δύο smartphones. 
Ακριβώς γι αυτό, λοιπόν, ορίσαµε éva alias που ovoudoaue VPNed. hosts και περι- 
λαμβάνειτις δύο διευθύνσεις IP που οι δύο αυτές συσκευές παίρνουν από τον DHCP 
server rou pfSense. (Εννοείται πως έχουµε ήδη μεριμνήσει, μέσα από το web panel 
TOU pfSense, WOTE οι υπό συζήτηση συσκευές να παίρνουν πάντοτε τις ίδιες διευ- 
θύνσεις ΙΡ) 


Είδαμε τα δύο aliases του pfSense box, εξηγήσαμε και το λόγο ύπαρξης καθενός. 
Στην επόμενη ενότητα παραθέτουμε και τους σχετικούς κανόνες oro firewall του 
pfSense, WOTE να υλοποιείται η επιθυμητή πολιτική διαχείρισης της δικτυακής KU- 
κλοφορίας. 


eee < E * v а pfsense/firewall_aliases_edit.php?id=1 e o 


> 
іа] 
i 

| 


» System > Interfaces * Firewall * Services > VPN » Status * Diagnostics > Gold * Help 


Firewall: Aliases: Edit 


Name S VPNed. hosts [5] 
The name of the alias may only consist of the characters "а-г, Α-Ζ, 0-9 and _". 


Description R Clients that go out. through an encrypted tunr 


You may enter a description here for your reference (not parsed). 


Type | Host(s) B 


Host(s) 


; Enter as many hosts as you would like. Hosts must be specified by their IP address or fully qualified domain name i 
+ (FQDN). FQDN hostnames are periodically re-resolved and updated. If multiple IPs are returned by a DNS query, all аге , 
1 used. You may also enter an IP range such as 192.168.1.1-192.168.1.10 or a small subnet such as 192.168.1.16/28 and | 
a list of individual IP addresses will be generated. ' 


IP or FQDN 


FA 
М samsung Galaxy Note 4 


| Save | Cancel 


pfSense is © 2004 - 2015 by Electric Sheep Fencing LLC. All Rights Reserved. [view license] 


4й 


H ζωή µε τον OpenVPN-enabled router µας 


Κανόνες στο firewall 


Από то web panel του pfSense επιλέγουμε System > Routing κι εστιάζουµε την TEO- 
σοχή µας στην καρτέλα Gateways. Μετά την πρώτη εγκατάσταση και ρύθμιση του 
pfSense υπάρχει µία µόνο προκαθορισμένη πύλη, µε όνοµα WANGW: Πρόκειται για 
εκείνη που χρησιμοποιεί то WAN interface του pfSense WOTE οι συσκευές πίσω από 
τον router να βγαίνουν στο Internet. Αυτή η πύλη οδηγεί απευθείας στον ISP µας. 
Μετά όµως τη ρύθμιση rou client για τον OpenVPN Access Server, στο pfSense õa- 
τίθεται και η πύλη µε буора ΟΝΡΝΡΕΕΙΑΝΤ VPNVA - ἡ τουλάχιστον αυτό εἶναι TO 
ὀνομά της για τη δική µας εγκατάσταση. H εν λόγω πύλη χρησιµοποιείται апо το 
DefiantVPN interface κι όσες συσκευές τη χρησιμοποιούν δεν βγαίνουν στο Internet 
απευθείας από rov ISP, αλλά αφού πρώτα περάσουν апо το κρυπτογραφημένο τού- 
ved που ξεκινά από το pfSense και καταλήγει στον Access Server. 


eee < * u & pfsense/system gateways.php [v] o th a + 


* System » Interfaces » Firewall * Services > VPN » Status » Diagnostics » Gold » Help 


System: Gateways B@eou2) 
— 2 


Name Interface Gateway Monitor IP 
WANGW (default) WAN 192.168.1.1 192.168.1.1 DSL Router 


OVPNDEFIANT VPNV4 | DEFIANTVPN | 172.27.232.1 8.8.8.8 OVPNDEFIANT 


Ta δύο gateways του δικού µας pfSense box. Από ro WANGW οι πελάτες βγαίνουν απευθείας oro Internet, µέσω του ISP 
pac. Από το OPENVPNDEFIANT_VPNV4 οι πελάτες βγαίνουν στο Internet апо τον OpenVPN Access Server, ταξιδεύοντας 
μέσα από το κρυπτογραφημένο τούνελ που υφίσταται μεταξύ pfSense box кі απομακρυσμένου VPS. 


Тіс δύο προναφερθείσες πύλες, WANGW και OPENVPNDEFIANT. VPNVA, πρέπει να 
έχουµε υπόψη κατά τη σύνταξη των κανόνων δρομολόγησης της κίνησης. Τώρα, 
για την προσθήκη των κανόνων δίνουμε Firewall > Rules. Οι νέοι κανόνες θα αφο- 
ρούν στο network interface που έχουν µπροστά τους οι πελάτες του router, αφού 
ενδιαφερόµαστε για τα πακέτα που εξέρχονται апо то τοπικό δίκτυο. Κατά πάσα 
πιθανότητα μιλάμε για To LAN interface. Υπάρχουν όµως κι άλλες δυνατότητες. Па 
παράδειγµα, στο δικό µας setup ασχοληθήκαμε µε то ОРТ? interface, το οποίο ano- 
τελεί bridge των LAN kat ОРТ. Σε κάθε περίπτωση, στη σελίδα "Firewall: Rules" Ká- 
VTE κλικ στην καρτέλα του κατάλληλου γιατην εγκατάστασή сас network interface. 
Δείτε στα screenshots που ακολουθούν τους κανόνες που ισχύουν για το δικό µας 
interface (το ОРТ2), διαβάστε βεβαίως και τις αντίστοιχες περιγραφές. 
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eee < 3t u & pfsense/firewall rules.php e o fh а) 


> System > Interfaces > Firewall » Services > VPN > Status » Diagnostics » Gold » Help ge pfsense.colder.xyz 


Firewall: Rules 


Ü resin; wan | taw Í еті | serae | openen | 


ID Proto Source Destination Schedule 


IPv4* | * via ISP. Always reach 
those hosts via 
WAN 


VPNed hosts OVPNDEFIANT. VPNV4 Those hosts 

always T 
through the 

tunnel 


Allow 
any rule (via 
WAI 


[3 pass match ЕЗ block τος reject 0 log 
pass (disabled) match (disabled) {4 block (disabled) .. reject (disabled) log (disabled) 


Rules are evaluated on a fist. maten basis (i.e. the action of the first rule to match a packet will be 
executed). This means that if you use block rules, you'll have to pay attention to the rule order. 
Everything that isn't explicitly passed is blocked by default. 


pfSense is © 2004 - 2015 by Electric Sheep Fencing LLC. All Rights Reserved. [view license] 


Ιδού οι τρεις κανόνες rou firewall για то OPT2, ro network interface που βλέπουν οι πελάτες rou pfSense. H σειρά тшу 
κανόνων έχει σημασία, αφού εφαρμόζονται апо πάνω προς та κάτω, о πρώτος κανόνας поо "ταιριάζει" σε εισερχόµενο 
πακέτο ενεργοποιείται, ενώ όλοι οι ἄλλοι апо "κάτω", αν υπάρχουν, αγνοούνται. Έτσι, οι τρεις εικονιζόµενοι κανόνες 
έχουν Τα ακόλουθα αποτελέσµατα: 


* ау ένα πακέτο, ап όποιον client κι αν προέρχεται, προορίζεται για κάποιον από τους hosts που παρατίθενται στο alias 
ονόματι via. ISP, τότε στείλε το έξω µέσω του WANGW gateway (δηλαδή όχι µέσω του κρυπτογραφημένου τούνελ) - κι 
αγνόησε τους κανόνες από κάτω 


* ау ένα πακέτο προέρχεται апо κάποιον εκ των clients που παρατίθενται ото alias ονόματι VPNed_hosts, τότε στείλε 
το έξω µέσω του OVPNDEFIANT. VPNVA gateway (δηλαδή μέσω του κρυπτογραφημένου τούνελ) - κι αγνόησε τους 
κανόνες από κάτω 


* ау ένα πακέτο προέρχεται апо έναν οποιονδήποτε άλλον client, τότε στείλε το έξω µέσω του ΙΝΑΝΟΙΝ gateway 
(δηλαδή оҳ: µέσω του κρυπτογραφηµένου τούνελ) 


Θα μπορούσε κάποιος να ισχυριστεί ότι Тос κανόνας είναι περιττός και ὅτι ο 2ος κι о 3ος θα ήταν αρκετοί. Στην 
πραγματικότητα όµως η παρουσία του Ίου κανόνα είναι απαραίτητη, WOTE αν κάποιο πακέτο προορίζεται για κάποιον 
host από ro via ISP να βγαίνει έξω µέσω WANGW ακόµη κι όταν προέρχεται anó client της λίστας VPNed_hosts. 
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H ζωή µε τον OpenVPN-enabled router µας 


* Â pfsense/firewall_rules_edit.php?id=5 


VPN 


» Statu » Diagnostics 


Firewall: Rules: Edit 


Choose what to do with packets that match the criteria specified below. 
Hint: the difference between block and reject is that with reject, a packet (TCP RST or ICMP port unreachable for UDP) 
is returned to the sender, whereas with block the packet is dropped silently. In either case, the original packet is 

discarded. 


Disable this rule 
Set this option to disable this rule without removing it from the list. 


Interface OPT2 
Choose which interface packets must be sourced on to match this rule. 


TCP/IP Version PA B Select the Internet Protocol version this rule applies to 


Protocol any 


Choose which IP protocol this rule should match. 
Hint: in most cases, you should specify TCP here. 


not 
Use this option to invert the sense of the match. 


Type: any 


[E] 


not 
Use this option to invert the sense of the match. 


Type: Single hostoralias B 
e 
Log packets that are handled by this rule 


Hint: the firewall has limited local log space. Don't turn on logging for everything. If you want to do a lot of logging, 
consider using a remote syslog server (see the Diagnostics: System logs: Settings page). 


S Always reach those hosts Ма WAN 
You may enter a description here for your reference. 


eee < 0 & v 8 pfsense/firewall_rules_edit.php?id=5 [v ο ὁ G mm 


» Gold » Help 


Advanced features 


Source 05 Advanced - Show advanced option 


Diffserv Code Point Advanced - Show advanced option 


Advanced Options Advanced - Show advanced option 


State Type Advanced - Show advanced option 


No XMLRPC Sync Advanced - Show advanced option 


802.1р Advanced - Show advanced option 


Schedule Advanced - Show advanced option 


| WANGW - 192. B 
Leave as 'default' to use the system routing table. Or choose a gateway to utilize policy based routing. 


Advanced - Show advanced option 


Advanced - Show advanced option 


Advanced - Show advanced option 


Rule Information 


Created 11/9/15 1: 54 by айтіп@192.168.10.5 
Updated 11/9/15 19:34:49 by admin@192.168.10.5 


Save Cancel 
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8 pfsense/firewall rules edit. phpꝰ id e ES 


» System Interfaces > Firewall » Services > VPN » Status * Diagnostics » Gold » Help ge pfsense.colder.xyz 


Firewall: Rules: Edit agus 


Edit Firewall rule 


Action Pas 2 


Choose what to do with packets that match the criteria specified below. 

Hint: the difference between block and reject is that with reject, a packet (TCP RST or ICMP port unreachable for UDP) 
is returned to the sender, whereas with block the packet is dropped silently. In either case, the original packet is 
discarded. 


Disabled disable this rule 
Set this option to disable this rule without removing it from the list. 


Interface ОРТ? 2 


Choose which interface packets must be sourced оп to match this rule. 


TCP/TP Version IPv4 Š Select the Internet Protocol version this rule applies to 


Protocol any 2 


Choose which ІР protocol this rule should match. 
Hint: in most cases, you should specify TCP here. 


not 
Use this option to invert the sense of the match. 


Single host or alias Ὁ 


Destination 
Use this option to invert the sense of the match. 


200% στις παραμέτρους του 2ου κανόνα. Αυτή τη φορά εστιάσαµε την προσοχή µας στην ενότητα Source. Θέσαμε και 
πάλι Type = Single host or alias αλλά στη θυρίδα Address πληκτρολογήσαμε VPNed_hosts, το οποίο εἶναι ro буора που 
έχουµε δώσει στο alias µε τα IPs των clients που επιθυμούμε να βγαίνουν στο Internet µέσω του Access Server. 


eee < 34 u а pfsense/firewall rules edit.php?id-6 о on io m 


» System Interfaces Firewall Services > VPN » Status * Diagnostics » Gold » Help ge pfsense.colder.xyz 


Advanced features 


Source OS Advanced - Show advanced option 


Diffserv Code Point Advanced | - Show advanced option 


Advanced Options Advanced | - Show advanced option 


State Type Advanced | - Show advanced option 


No XMLRPC Sync Advanced | - Show advanced option 


802.1p Advanced | - Show advanced option 


Schedule Advanced | - Show advanced option 


Gateway OVPNDEFIANT_VPNV4 - 172.27.232.1 


Leave as 'default' to use the system routing table. Or choose a gateway to utilize policy based routing. 


In/Out Advanced - Show advanced option 


Ackqueue/Queue Advanced | - Show advanced option 


Layer Advanced - Show advanced option 


Rule Information 


Created 11/9/15 19:37:15 by admin@192.168.10.5 


Updated 11/23/15 22:56:29 by admin@192.168.10.5 


Save Cancel 


Στην περιοχή Gateway της ενότητας Advanced features θέσαµε Gateway = OVPNDEFIANT. VPNVA, ώστε οι clients που 
παρατίθενται στη λίστα VPNed_hosts va περνάνε μέσα από ro κρυπτογραφημένο κανάλι που υφίσταται μεταξύ pfSense 
Και ΟΡΕΠΝΡΝ Access Server. 
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H ζωή µε τον OpenVPN-enabled router µας 


еее < B % u В pfsense/firewall_rules_edit.php?id=7 e 


» System » Interfaces > Firewall Services > VPN » Status * Diagnostics * Gold * Help 


Advanced features 


Source OS Advanced - Show advanced option 


Diffserv Code Point Advanced - Show advanced option 


Advanced Options Advanced | - Show advanced option 


State Type Advanced | - Show advanced option 


No XMLRPC Sync Advanced - Show advanced option 


802.1p Advanced | - Show advanced option 


Schedule Advanced - Show advanced option 


|. WANGW - 192.168.1.1 B 
Leave as 'default' to use the system routing table. Or choose a gateway to utilize policy based routing. 


In/Out Advanced - Show advanced option 


Ackqueue/Queue Advanced - Show advanced option 


Layer7 Advanced - Show advanced option 


Rule Information 


Created 10/6/15 09:12:51 by admin@192.168.3.250 


Updated 11/9/15 19:35:35 by admin@192.168.10.5 


Save Cancel 


Έλεγχοι µε το mtr 


Αφού ορίσουμε τους κανόνες µας για To interface που βλέπουν οι clients του pfSense 
και τους εφαρμόσουμε, καλό εἰναι να κάνουμε και δυο-τρεις ελέγχους προκειµέ- 
νου να βεβαιωθούμε ότι έχουν το επιθυμητό αποτέλεσµα. Ένα βολικό εργαλείο γι’ 
αυτή τη δουλειά είναι το traceroute (tracert στα Windows). Εναλλακτικά υπάρχει και 
το mtr (http://www.bitwizard.nl/mtr), το οποίο συνδυάζει τα traceroute και ping. Τα 
traceroute (tracert) και mtr δείχνουν τη διαδρομή που κάνουν τα δικτυακά πακέτα 
από τον υπολογιστή µας έως ότου φτάσουν σε κάποιον άλλον host (στο τοπικό δί- 
κτυο ή στο Internet). Οι έλεγχοι που εμείς κάναμε ήταν µε χρήση των tracert και mtr 
και είχαν ως ακολούθως: 

“ tracert апо VM µε Windows 10, όπου το λειτουργικό έβγαινε στο Internet μέσω 


WANGW. Επιθυµητό αποτέλεσµα: Τα πακέτα «δεν: περνάνε από ro κρυπτογραφη- 
μένο τούνελ. 


* mtr ar laptop ug OS X nou έβγαινε στο Internet μέσω OVPNDEFIANT. VPNVA, προς 
site της λίστας via. ISP. Επιθυµητό αποτέλεσµα: Та πακέτα "δεν: περνάνε από TO 
κρυπτογραφημένο τούνελ. 


tr amó ro ίδιο laptop µε OS X (kat πάλι έβγαινε στο Internet µέσω OVPNDEFIANT_ 
VPNV4), προς site «εκτός” της λίστας via. ISP. Επιθυμητό αποτέλεσµα: Τα πακέτα 
«περνάνε: από το κρυπτογραφημένο τούνελ. 


Δείτε στα screenshots που ακολουθούν μερικά στιγμιότυπα των δοκιμών μας. 
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Command Prompt 


C:\Users\Christos>tracert eff. org 


Tracing route to eff. org 169. 59.225. 
over a maximum of 36 hops: 


ms 1 ms 


484 ms 


e complete. 


Αὐτό είναι το LAN IP του ADSL 


modem/router “μπροστά” από το pfSense 


Ενδιάµέσα hosts, στο Internet 0 προορισµός µας 


Από ένα VM µε Windows 10 που “деу” βγαίνει ото Intetnet µέσω του απομακρυσμένου OpenVPN Access Server, κάνουμε 
ἕνα tracert προς ro eff.org. Το прото Μορ εἶναι προς ro 192.168.1.1, το οποίο είναι ο WANGW και ταυτίζεται µε το LAN 
interface rou modem/router рпроота από το pfSense. Από εκεί και πέρα, πριν φτάσουμε oro eff.org περνάµε апо 10 
ενδιάµεσα μηχανήματα στο Internet. Το ότι το πρώτο hop είναι προς то 192.168.1.1 και μετά βγαίνουµε στο Internet, 
φανερώνει ότι η δρομολόγηση πράγματι δεν γίνεται µέσω του κρυπτογραφημένου τούνελ προς rov Access Server. 


ee cvar — mtr — 115x30 — 381 
My traceroute [v0.86] 
mbpr 15. colder. xyz (0.0.0.0) Fri NOV 27 07:31:09 2015 
eso lver: Received error response 2. (server failure) er of fields quit 
Pings 

Avg Best Wrst StDev 
2.7 386. 51 8:7 
9.6 8.1 12.5 1.0 
13.3 6 62.7 10.2 
19.6 .0 58.4 9.4 
57.1 7 61.1 1.0 
53.0 6 80.3 4.8 
57.5 6 5 
52.4 1 3 


73. 
55. 


2.9 
9.9 


7 f 8888 8 8 


Αὐτό είναι to LAN IP που έχει το 


Taone το mir ce ένα laptop με 0S X ADSL modem/router "μπροστά" από co pfSense 


το οποίο βγαίνει aro Intetnet µέσω του 

απομακρυσμένου Access Server, αλλά 

Επιχειρούµε va χαρτογραφήσουμε τη Ενδιάµεσα hosts, στο Internet 
διαδρομή προς έναν host από τη λίστα ы 

via_ISP. Διαπιστώνουμε ότι та πακέτα που 

στέλνει το mtr δεν περνάνε µέσα απὀ то К 

κρυπτογραφημένο τούνελ - κι αυτή ακριβώς 0 προορισμός µας 

είναι επιθυμητή συμπεριφορά. SS 
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H ζωή µε τον OpenVPN-enabled router µας 


eee cvar — mtr — 115x30 — 31 


My traceroute [v0.86] 
imbpri5.colder.xyz (0.0.0.0) Fri Nov 27 07:34:37 2015 
mesolver: Received error response 2. (server failure)er of fields quit 
Packets Pings 
Host Loss% Snt Avg Best Wrst StDev 
a: 172.27. 232.1 0.0% 20 128.0 126.8 130.8 
104.131.0.253 20 
162.243. 188.241 20 
. nyk-b3-link.telia.net 19 
nyk-bb2-link.telia.net 19 
kbn-bb4-link.telia.net 
kbn-b3-link.telia.net 
. easyspeedy-ic-305269-kbn-b3.c.telia.net 
. 82.103.189.5 
. e82-103-136-2265.easyspeedy.com 


ΘΘΟΘΟΘΘΘΟΘΟΘ Θ 
SNAONUNUNWANN 


2 
7 
3 
5 
«4 
9 
5 
8 
2 


ΕΙ ΠΤ 
€» ο σι Ν 0 55 о à Q 


Tpéxoupe ξανά το mtr ото ίδιο laptop µε OS X, 
το οποίο εξακολουθεί να βγαίνει στο Intetnet 
μέσω rou απομακρυσμένου Access Server. 
Τώρα όµως επιχειρούµε va χαρτογραφήσουμε 
τη διαδρομή προς έναν host "εκτός" της λίστας 
via. ISP. Παρατηρούμε ότι το πρώτο Πορ εἰναι 
προς το 172.27.232.1, δηλαδή προς τον gateway 
του DefiantVPN. Αυτό φανερώνει ότι τα πακέτα 
που στέλνει το mtr ταξιδεύουν μέσα από το 
κρυπτογραφημένο τούνελ. 


Δοκιμαστικά packet captures 


Oa ήταν διαφωτιστικό αν εἰχαµε ша εικόνα για TO TL βλέπει o ISP µας όταν *ógv* 
χρησιμοποιούμε VPN, αλλά και τι βλέπει όταν δρομολογούμε τη δικτυακή µας κίνη- 
ση μέσων VPN. 


Κρίνοντας από τα δικά µας, φανταζόμαστε ότι ούτε για εσάς θα «ναι εύκολο va πάτε 
μια βόλτα ως то τοπικό κέντρο rou ISP σας. Акорд κι αν πάτε, δηλαδή, κάτι µας λέει 
πως ба δυσκολευτείτε να πείσετε τους υπεύθυνους να συνεργαστούν και να σας 
αφήσουν, επιτέλους, να παρακολουθήσετε тп δική σας δικτυακή κίνηση. Δεν ξέρου- 
με, LOWS να κάνουμε και λάθος, θα θεωρήσουμε όμως OTL µια τέτοια απόπειρα θα 
αποβεί άκαρπη. 


Τι μπορούμε λοιπόν να κάνουμε, αν επιθυμούμε ν αποκτήσουμε µια εικόνα παρόμοια 
ы εκείνη που έχει o ISP µας; Μια ιδέα είναι το packet capture της δικτυακής µας KÍ- 
Mo, αλλά στο επίπεδο του pfSense. Πιο συγκεκριµένα, προτείνουμε δύο captures: 
éva όταν έχουµε δικτυακή κίνηση που беу δρομολογείται µέσω Access Server, Be- 
βαίως κι άλλο éva όταν έχουµε δικτυακή κίνηση που δρομολογείται µέσω Access 
Server. Oa πάρουμε ἔτσι δύο διαφορετικά αρχεία και, στη συνέχεια, µε την ησυχία 
μας θα επιχειρήσουµε µια κάποια ανάλυση, καταφεύγοντας σε εργαλεία όπως TO 
tcpdump ñ το Wireshark. Δείτε στα screenshots που ακολουθούν πώς πετυχαίνου- 
με το packet capture µε χρήση της σχετικής δυνατότητας που παρέχει то (Oto το 
pfSense. 
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eee < * u & pfsense/diag_packet_capture.php [v] е Ó a " 


> System > Interfaces h Firewall * Services P VPN — * Status Diagnostics * Gold » Help е pfsense.colder.xyz 


Diagnostics: Packet Capture 


Packet capture 


Interface WAN B 
Select the interface on which to capture traffic, 


Promiscuous 


If checked, the packet capture will be performed using promiscuous mode. 
Note: Some network adapters do not support or work well in promiscuous mode. 


Address Family Any B 
Select the type of traffic to be captured, either Any, IPv4 only or IPv6 only. 


Protocol Any 
Select the protocol to capture, or Any. 


Host Address B 


This value is either the Source or Destination IP address or subnet in CIDR notation. The packet capture will look for this 
address in either field. 

Matching can be negated by preceding the value with "1". Multiple ІР addresses or CIDR subnets may be specified. Comma (",") 
separated values perform a boolean "and". Separating with a pipe ("|") performs a boolean "or". 

1f you leave this field blank, all packets on the specified interface will be captured. 


` 


Тһе port can be either the source or destination port. The packet capture will Iook for this port in either field. 
Leave blank if you do not want to filter by port. 


"0 


Тһе Packet length is the number of bytes of each packet that will be captured. Default value is 0, which will capture the entire 
frame regardless of its size. 


%0 


This is the number of packets the packet capture will grab. Default value is 100. 
Enter 0 (zero) for no count limit, 


Level of Detail Normal |2 
This is the level of detail that will be displayed after hitting 'Stop' when the packets have been captured. 
Note: This option does not affect the level of detail when downloading the packet capture. 


Reverse DNS Lookup 


This check box will cause the packet capture to perform a reverse DNS lookup associated with all IP addresses. 
Note: This option can cause delays for large packet captures. 


С Start View Capture Download Capture 
The packet capture file was last updated: November 27th, 2015 9:19:55 am. 


Па ένα packet capture µέσα από ro περιβάλλον rou pfSense, απλά ακολουθούμε τη διαδρομή Diagnostics Packet 
Capture. Θέλουμε уа συλλάβουμε πακέτα που διέρχονται ano ro interface ονόματι WAN, γι’ αυτό και θέτουµε Interface 
= WAN (1). Δεν επιλέγουμε To DefiantVPN, αφού τη στιγμή που τα πακέτα εισέρχονται o' αυτό ro interface δεν είναι 
ακόµη κρυπτογραφημένα. Βγαίνοντας όµως апд To WAN, αν προηγουμένως είχαν περάσει апо ro DefiantVPN τότε θα 
είναι κρυπτογραφημένα. Па τις παραμέτρους Address Family, Protocol, Host Address, Port και Packet Length αφήνουμε 
τις προεπιλεγμένες τιµές, αφού ro packet capture επιθυμούμε va εἰναι доо πιο γενικό γίνεται. Θέτοντας Count = 0 (2) 
To packet capture θα παραμένει ενεργό έως ότου αποφασίσουµε va το σταματήσουμε εμείς οι ίδιοι. Προκειμένου να 
ξεκινήσει η διαδικασία, ένα κλικ στο κουμπάκι Start (3) είναι αρκετό. 


eee < LE * u а pfsense/diag_packet_capture.php e o [uj a || ΠΠ 


stem Interfaces » Firewall » Services » VPN » Status * Diagnostics * Gold » Help pfsense.colder.xyz 


Ҹо 
This is the number of packets the packet capture will grab. Default value is 100. 
Enter 0 (zero) for no count limit. 


Level of Detail Normal [3 
This is the level of detail that will be displayed after hitting 'Stop' when the packets have been captured. 
Note: This option does not affect the level of detail when downloading the packet capture. 


Reverse DNS Lookup 


This check box will cause the packet capture to perform a reverse DNS lookup associated with all IP addresses. 
Note: This option can cause delays for large packet captures. 


Stop 


Packet Capture is running. k 
` 


Όση ора λαμβάνει χώρα ένα packet capture, στο κάτω µέρος της σελίδας Diagnostics Packet Capture εμφανίζεται To 
λακωνικό μήνυμα "Packet Capture is running.“ Όταν αοφασίσουµε va το σταματήσουμε, απλά θα κάνουμε ένα κλικ στο 
κουμπάκι Stop. 
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H ζωή µε τον OpenVPN-enabled router µας 


eee < B 3 u 8 pfsense/diag_packet_capture.php e o ІҢ m 


h System > Interfaces » Firewall — ^ Services » VPN Status > Diagnostics » Gold — » Help 


` 


The port can be either the source or destination port. The packet capture will look for this port in either field. 
Leave blank if you do not want to filter by port. 


Ҹо 
Тһе Packet length is the number of bytes of each packet that will Бе captured. Default value is 0, which will capture the entire 
frame regardless of its size. 


%.100 


This is the number о packets the раскес capture will grab. Default value is 100. 
Enter 0 (zero) for no count limit. 


Level of Detail Normal 
This is the level of detail that will be displayed after hitting 'Stop' when the packets have been captured. 
Note: This option does not affect the level of detail when downloading the packet capture. 


Reverse DNS Lookup о 


This check box will cause the packet capture to perform а reverse DNS lookup associated with all ІР addresses. 
Note: This option can cause delays for large packet captures. 


Start View Capture Download Capture 
The packet capture file was last updated: November 27th, 2015 9:33:29 ат. 


Packet Capture stopped. 


Packets Captured: 


09:23:46.408999 IP 192.168.1.1 > 192.168.1.254: ICMP echo reply, id 65360, seq 63956, length 60 
09:23:46.621328 IP 192.168.1.254.59887 > 17.110.227.102.5223: tcp 122 
:23:46.622839 ІР 192.168.1.254.24560 > 17.143.164.101.5223: tcp 122 
46.825017 IP 17.110.227.102.5223 > 192.168.1.254.59887: tcp 74 
46.826899 IP 192.168.1.254.59887 > 17.110.227.102.5223: tcp 0 
09:23:46.832833 IP 17.143.164.101.5223 » 192.168.1.254.24560: tcp 74 
09:23:46.834760 IP 192.168.1.254.24560 » 17.143.164.101.5223: tcp O 
09:23:47.264121 IP 192.168.1.254.9349 » 194.105.250.27.80: tcp O 
09:23:47.264815 IP 192.168.1.254.60432 » 194.105.250.27.80: tcp O 
09:23:47.264848 IP 192.168.1.254.54166 » 212.205.126.9.80: tcp O 
09:23:47.264878 ІР 192.168.1.254.56897 > 2.17.227.205.443: tcp 0 
09:23:47.264911 ІР 192.168.1.254.25454 > 92.43.192.110.80: tcp 0 
09:23:47.264956 IP 192.168.1.254.33078 » 92.43.192.110.80: tcp O 
09:23:47.264990 IP 192.168.1.254.30891 > 92.43.192.110.80: tcp O 
09:23:47.265023 IP 192.168.1.254.20117 > 23.214.156.49.80: tcp 0 
09:23:47.265054 IP 192.168.1.254.21407 » 92.43.192.110.80: tcp O 
09:23:47.265110 IP 192.168.1.254.6474 > 92.43.192.110.80: tcp 0 


pfSense is @ 2004 - 2015 by Electric Sheep Fencing LLC. All Rights Reserved. [view license] 


Εξέταση/ανάλυση των packet captures 


Μετά ra packet captures, τα αρχεία .cap που έχουμε στη διάθεσή µας μπορούμε 
να τα αναλύσουμε µε Eva εργαλείο σαν το tcpdump ή µε µια εφαρµογή όπως το 
Wireshark. Па το packet analysis γενικότερα διαβάστε ra σχετικά άρθραπου δηµοσι- 
εύονται στα τεύχη 019 και 020 του deltaHacker. T αυτά θα βρείτε και συγκεκριµένα 
παραδείγματα ανάλυσης. Στα screenshots που ακολουθούν βλέπουμε μερικά пршта 
συμπεράσματα που προέκυψαν άµεσα µε τη βοήθεια του Wireshark, µετά апо δύο 
packet captures που κάναμε στο δικό µας pfSense box. 
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packetcaptureO.cap [Wireshark 1.12.6 (Git Rev Unknown from unknown)] eoo 
File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help. 


АШ o xo Qee οχ48 e e α [] шм = 


Filter: ~ |Expression... Clear Apply Save 

No. πε, Source Destination ,, Protocol Length Info ο... ο, «νεο қалат 
591 79.180696 pfsense.colder.xyz ruv.is TCP 66 16882-http [ACK] Seq-328 Ack-11521 Міп-129632 Len=0 TSval-150024808 [ 
592 79.180973 pfsense.colder.xyz ruv.is ТСР 66 16882-http [ACK] Seq=328 Ack-12961 Win=131072 Len=0 TSval=150024808 
593 79.192591  pfsense.colder. xyz ruv.is TCP 78 61728-http [SYN] 5ед-0 Win-65535 Len=0 MSS=1460 WS=32 TSval=15002481 
594 79.193309  pfsense.colder.xyz ruv.is TCP 78 45827-http [SYN] Seq-O Win=65535 Len=0 MSS=1460 WS-32 TSval-15002481 
595 79.194455  pfsense.colder.xyz ruv.is TCP 78 S3369-http [SYN] Seq-O win-65535 Len=0 М55-1460 wS-32 TSval=15002482 
596 79.194803  pfsense.colder.xyz ruv.is ТСР 78 46171-http [SYN] Seq=0 win-65535 Len=0 М55-1460 wS=32 TSval=1500248; 
597 79.205464 pfsense.colder.xyz any.edge.bing.com TLSv1.2 935 Application Data 
598 79.226746 any. edge. bing. con pfsense. col der. xyz ТСР 66 https-15874 [ACK] Seq-5607 Ack=3902 Win-132352 | еп=0 TSval-4731300 Т 
599 79.272817 ruv.is pfsense.colder.xyz ТСР 1506 [ТСР segment of а reassembled PDU] 


600 79.274029 ru colder.xyz TCP 1506 [TCP segment of a reassembled PDU] 


is pfsens: 


602 79.275037 ruv.is pfsense.colder.xyz TCP 1506 [TCP segment of a reassembled PDU] 
603 79.275409  pfsense.colder.xyz ruv.is TCP 66 16882-http [ACK] Seq-328 Ack-17281 Win=129632 Len=0 TSval=150024899 
604 79.276092  ruv.is pfsense.colder.xyz ТСР 1506 [TCP segment of а reassembled PDU] 
605 79.277234 ruv.is pfsense.colder.xyz ТСР 1506 [TCP segment of а reassembled PDU] 
606 79.278234 ruv.is pfsense.colder.xyz TCP 1506 [TCP segment of a reassembled PDU] 


46022027022! " 14, 
» Frame 601: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 

» Ethernet II, Src: 192.168.1.254 (00:19:66:3c:c8:4b), Dst: 192.168.1.1 (00:1d:7e:b4:8b:61) 
» Internet Protocol Version 4, Src: pfsense.colder.xyz (192.168.1.254), Dst: ruv.is (37.152.65.12) 

» Transmission Control Protocol, Src Port: 16882 (16882), Dst Port: http (80), Seq: 328, Ack: 15841, Len: 0 


περ. Жа 1восэ.Һееһ LACK] сол-Эзо Acl. 219731 vi n=121072 Lan=n 7631 -160034000— 


0000 00 14 7е b4 8b 61 00 19 66 3c c8 4b ОВ 00 45 00 
0010 00 34 17 16 40 00 40 06 00 00 cO a8 01 Ғе 25 98 
0020 41 Oc 41 {2 00 50 a3 c7 7b 05 6d c6 af 00 80 10 
0030 ОҒ d3 3d ca 00 00 01 Ol 08 Oa ОВ fl 32 c2 14 47 
0040 31 75 


packetcaptureO.cap [Wireshark 1.12.6 (Git Rev Unknown from unknown)] eoo 
File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 


@@ 4 m ә xo Q <= Dts EE cack goms ө 


Filter: | M 


Expression... Clear Apply Save 


(55 u = 
79.180696 


Info x 
16882+http [ACK] 


шеше | 


pfsense.colder.xyz 

79.180973 — pfsense.colder.xyz 16882-http [ACK] Seq-328 Ack=12961 Win=131072 Len=0 TSval-150024808 
79.192501 — pfsense.colder.xyz 61728-http [SYN] Seq=0 Win-65535 Len=0 MSS-1460 WS=32 TSval-15002481 
79.193309  pfsense.colder.xyz 45827-http [SYN] Seq=0 win-65535 Len=0 MSS-1460 WS=32 TSval-15002481 
79.194455  pfsense.colder.xyz ruv.is S3369-http [SYN] Seq=0 win-65535 Len=0 М55-1460 WS=32 TSval=1500248; 
79.194803 pfsense.colder.xyz ruv.is 46171-http [SYN] Seq-0 Win=65535 Len=0 MSS=1460 WS=32 Т5уа1-15002482 
79.205464  pfsense.colder.xyz any. edge. bing. com application Data 
79.226746 ceny. edge. bing. com pfsense.colder.xyz https+15874 [ACK] Seq=5607 Ack=3902 Win=132352 Len=0 TSval=4731300 Т 
79.272807 ruv.is pfsense.colder.xyz [TCP segment of a reassembled PDU] 
79.274029 ruv.is pfsense.colder.xyz [TCP segment of a reassembled PDU] 

602 79.275037 ruv.is pfsense.colder.xyz TCP 1506 [TCP segment of a reassembled PDU] 

603 79.275409 pfsense.colder.xyz ruv.is TCP 66 16882-http [ACK] Seq=328 Ack=17281 win=129632 Len=0 TSval=150024899 

604 79.276092 ruv.is pfsense.colder.xyz TCP 1506 [TCP segment of a reassembled PDU] 

605 79.277234 ruv.is pfsense. colder. xyz TCP 1506 [TCP segment of a reassembled PDU] 

606 79.278234 ruv.is pfsense.colder.xyz TCP 1506 [TCP segment of a reassembled PDU] 


ren “ке. 16992. ttn. LACK] сал: = НЕ D=0-TSua] -150094000 


. " 
» Frame 601: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 

» Ethernet II, Src: 192.168.1.254 (00:19:66:3c:c8:4b), Dst: 192.168.1.1 (00:1d:7e:b4:8b:61) 
» Internet Protocol Version 4, Src: pfsense.colder.xyz (192.168.1.254), Dst: ruv.is (37.152.65.12) 

» Transmission Control Protocol, Src Port: 16882 (16882), Dst Port: http (80), Seq: 328, Ack: 15841, Len: O 


0000 00 14 7e b4 8b 61 00 19 
0010 00 34 17 16 40 00 40 06 
0020 41 Ос 41 Ғ2 00 50 83 ε7 
0030 Of d3 3d са 00 00 01 01 
0040 31 75 
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H ζωή µε τον OpenVPN-enabled router µας 


packetcaptureO.cap [Wireshark 1.12.6 (Git Rev Unknown from unknown)] 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 


@@ 4 ma Ὁ wo а <> O+ BB «4 


Address Resolution 59909 


v39ula[21.cloudfront.net 


157.88. 2 
89.177.67.65  dnsseed.bluematt.me 
Filter Expression... Clear Αρῇ 218. 34. 181. 50 sourceforge. net 
63.215.202.80 — track.cj.akadns.net 
No. Time Source Destination 83.227.52.216 — dnsseed.bitcoin.dashjr.org 
299 71.692243 any. edge. bing. com pf sense. colder. xy 191. 232. 139. 52 DBSSCH101101123.wns.windows.com 
300 71.693411 any. edge. bing. com pfsense.colder.xy| 17-172.239.72 us-courier.push-apple.com.akadns.net 
192.0.78.24 mintcast.org 
301 71.695904 eny. edge. bing. com pfsense.colder.xy| 17. 167. 194. 149 gs-loc.ls-apple.com.akadns.net 
302 71.696484 any. edge. bing. com pfsense.colder.xy| 50.19.209.164 ^ elb063104-978530815.us-east-1.elb.amazonaws.com 
303 71.698437  pfsense.colder.xyz any.edge.bing.com| 216.137.63.91 ^ dl7d9prv6ndfgO.cloudfront.net 


23.195.55.163  e6858.dscc.akamaiedge.net 
27.250. 78. 98 dnsseed.bluematt.me 


.699882 ^ any.edge.bing.com 


Р 5.135.181.38 — dnsseed.bluematt.me 

pfsense.colder.xyz Е A Е 38.229.72.16 www.torproject.org 

54.230.8.64 Ὃ Ea S A NICE 

17.172.238.201 1.courier-sandbox-push-apple.com.akadns.net 
any.edge.bing.com 78.46.72.178 ^ dnsseed.bitcoin.dashjr.org 

54.225.186.105 ctgprodlb-01- 1092827307 .us- east- I. elb. amazonaws.com 
17.110.227.99 1.courier-sandbox-push- apple.com.akadns.net 
204.79.197.200 any.edge.bing.com 


135.23.5.3 dnsseed.bitcoin.dashjr.org 
— 17.253.6.253 ^ time.apple.com 
— E m ег ss. 125. 88. 184 imap.mall.gmO.yahoodns.net 
314 71.762862  pfsense.colder.xyz any.edge.bing.com| 127.0.0.1 seed. bitcoinstats.com 


198.145.13.9  in.getclicky.com 
E : .xyz .edge.bing. 
315 71.763152  pfsense.colder.xy. any.edge.bing.com 64225 188.122 bons. softpedia com 


» Frame 308: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 212.205.77.136 a1112.b.akamai.net 

» Ethernet II, Src: 192.168.1.1 (00:1d:7e 61), bst: 192.168.1.254 (00| 185.31.17.249  fallback.global-ssl.fastly.net 

» Internet Protocol Version 4, Src: any.edge.bing.com (204.79,197.200), Dst| 31.170.179.235 seed.bitnodes.10 | net 

» Transmission Control Protocol, Src Port: https (aas), ost Port: 19548 (19| 23 153 38.188 F 

85.212.55.239 seed. bi tnodes. i0 

23. 21. 128. 144  ctgprodlb-01-1092827307.us-east-1.elb.amazonaws.com 
134. 170. 58. 125 fe. update. m crosof t. con. nsate. net 

173.194.65.94 csi. static. com 

89. 195. 149. 188 dnsseed.bitcoin.dashjr.org | 
17.167.194.120 gs-loc.ls-apple.com.akadns.net 
76.185.87.209 — seed.bitnodes.io 

65.52.35.54 prod-w.nexus.live.com.akadns.net 
173.194.112.237 pagead46.1.doubleclick.net 
54.192.11.57  d3unh2vgy6geke.cloudfront.net 
52. 75. 10. 248 clients. L. google. con 


192.0. 0.171 ipv4only.arpa 
23 21 77.18 гапа сот 


Μερικές από τις διευθύνσεις ІР και ra αντίστοιχα fully qualified domain names των ιντερνετικών hosts, µε τους οποίους 
επικοινώνησε ο router µας κατά τη διάρκεια rou packet capture. T αυτό το µέρος της λίστας δεν φαίνεται να υπάρχει 
τίποτε άτακτο. Па λίγο πιο πάνω ή για λίγο πιο κάτω, δεν βάζουμε то χέρι µας στη φωτιά. 


0000 00 19 66 Зс c8 4b 00 ld 7e ba 8b 61 08 00 45 Зс 
0010 00 34 35 40 40 00 78 06 78 89 сс 4f c5 c8 cO a8 
0020 01 Ғе 01 bb 4c Sc ed 3d 21 Зе ad Ь8 7а 51 80 10 
0030 02 01 e7 сс 00 00 Ol 01 08 Oa OO 2f 14 fd 08 fl 
0040 15 77 


Applicat 


packetcapturel.cap [Wireshark 1.12.6 (Git Rev Unknown from unknown)] eoo0 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 


AOF ] D xo r + BB A its 8 

Filter: Expression... Clear Apply Save 

No. Time Source Destination Protocol Length 

13328 106.465956 defiant.gr pfsense.colder.xyz OpenVPN 1391 : PDATA Vl 
13329 106.465985 pfsense.colder.xyz defiant.gr OpenVPN 143 P DATA Vi 
13330 106.467152 defiant.gr pfsense.colder.xyz OpenVPN 1391 MessageType: P DATA Vl 
13331 106.467668 pfsense.colder.xyz defiant.gr OpenVPN 143 MessageType: P DATA Vl 
13332 106.468162 defiant.gr pfsense.colder. OpenVPN 1391 MessageType: P DATA Vl 
13333 106.469142 defiant.gr pfsense.colder. OpenVPN 1391 MessageType: P DATA Vl 
13334 106.470594 defiant.gr pfsense.colder. OpenVPN 1391 MessageType: P DATA Vl 
13335 106.471489 defiant.gr pfsense.colder. OpenVPN 1391 MessageTyp: 

13336 106.472532 defiant pfsense.colder OpenVPN 1391 MessageTyp 


13338 106.473453 pfsense.colder. defiant.gr OpenVPN 
13339 106.473559 defiant.gr pfsense.colder.xyz OpenVPN 
13340 106.474545 defiant.gr pfsense.colder.xyz OpenVPN 
13341 106.474861 pfsense.colder.xyz defiant.gr OpenVPN 
13342 106.475716 defiant.gr pfsense.colder.xyz OpenVPN 
13343 106.476408 pfsense.colder.xyz defiant.gr OpenVPN MessageType: 


13344 106.476436 defiant.gr ΚΞΝ af X 1 OpenVPN 1391 MessageType: P DATA Vl 
» Frame 13337: 143 bytes on wire (1144 bits), 143 bytes captured (1144 bits) 
» Ethernet II, Src: 192.168.1.254 (00:19:66:3c:c8:4b), Dst: 192.168.1.1 ( 
» Internet Protocol Version 4, Src: pfsense.colder.xyz (192.168.1.254), Ds’ 
» User Datagram Protocol, Src Port: 56494 (56494), ost Port: openvpn (1194) 
* OpenVPN Protocol 

» Type: 0x30 [opcode/key id] 

» Data (100 bytes) 


d:7e:b4:8b:61) 
: defiant.gr (104.131.181.237) 


0000 00 14 7e b4 8b 61 00 19 66 Зс св 4b 08 00 45 00 
0010 00 81 e4 27 00 00 40 11 00 OO cO a8 Ol fe 68 83 
0020 bS ed dc ae 04 аа 00 6d 47 07 30 7a 3b 2d d3 3c 
0030 ее 06 е2 3f bo аз 26 18 78 dc fd b4 4e 70 14 46 
0040 49 bc a9 eb 08 b5 91 38 ce 90 59 39 47 ed 71 е7 
0050 57 64 5d 64 Od 5b 54 b9 Oa 03 9e 32 ea 75 cd ef 
0060 86 90 {5 8с 61 c4 8d 96 {4 a4 20 98 b5 a4 1f 49 
0070 9d 72 4a 9b 36 ОҒ 99 31 20 8f 14 90 d5 37 26 98 
0080 16 66 42 79 64 73 7a 7d fd 55 25 la ев 43 Ве 


Εδώ έχουµε ανοίξει το αρχείο packetcapturel.cap, το οποίο δημιουργήθηκε όταν στο Τοπικό δίκτυο λειτουργούσαν 
µόνο clients τους οποίους ο router έβγαζε έξω αποκλειστικά µέσω Access Server. Παρατηρούμε ότι υπάρχει έντονη 
επικοινωνία μεταξύ pfsense.colder.xyz και defiant.gr. Παρεμπιπτόντως, αυτό το τελευταίο είναι To FQDN του VPS στο 
οποίο λειτουργεί o VPN server. Το πρωτόκολλο επικοινωνίας μεταξύ των δύο μηχανημάτων είναι αναγνωρίσιμο (βλ. 
στήλη Protocol), ωστόσο ro περιεχόµενο της επικοινωνίας είναι ισχυρά κρυπτογραφημένο και каша άλλη χρήσιμη 
πληροφορία δεν µπορεί να προκύψει. 
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Skill: Beginner 
Tags: EncFS, cloud storage, Linux, Windows 


Έξτρα κρυπτογράφηση 
για τα δεδοµένα µας 
στο cloud 


Н τάση που θέλει τα πάντα να βρίσκονται online εγείρει σηµαντικά ζητήματα 
ασφαλείας. Πόσο προσωπικά θα είναι τα προσωπικά µας δεδοµένα, αν τα 
αποθηκεύσουµε στους servers κάποιας εταιρείας; Όλες όσες προσφέρουν то 
λεγόμενο cloud storage διατείνονται πως μόνον εμείς έχουµε πρόσβαση στα 
δεδομένα µας και, εδώ που Ta λέμε, δεν θα μπορούσαν να ισχυριστούν κάτι 
διαφορετικό. Για άλλη µια φορά, όσοι παίρνουν στα σοβαρά την ασφάλεια των 
δεδομένων τους, πρέπει να πάρουν και τα µέτρα τους. 


του Πέτρου Κυλαδίτη 


Н ευκολία που προσφέρει то Dropbox και όλες οι παρόμοιες υπηρεσίες εἶναι τόσο 
μεγάλη, που πολύ συχνά θυσιάζουµε την ασφάλεια των δεδομένων µας χωρίς δεύ- 
τερη σκέψη. Μήπως πρέπει va αναθεωρήσουµε αυτού του είδους τις συνήθειες; 
Ακόμα κι αν δεχτούμε ως αληθείς τις υποσχέσεις που δίνουν οι εταιρείες του XW- 
ρου, κανένας δεν εγγυάται ότι διαθέτουν άτρωτα συστήµατα. Μπορεί όταν κάνουν 
λόγο για ασφάλεια και διακριτικότητα να το εννοούν, αλλά αν πέσουν θύματα µιας 
επίθεσης τα δεδοµένα µας πιθανώς θα εκτεθούν. Μια προφανής λύση, ώστε να µην 
καταντήσουµε να αφορίσουµε την τεχνολογία και τις ευκολίες που προσφέρει, £i- 
ναι va στραφούμε σε κάποια μέθοδο κρυπτογράφησης «πριν το ανέβασμα των ðs- 
δομένων ото cloud. Ποια είναι η καταλληλότερη, όµως; 


Εμφωλευμένη κρυπτογράφηση 


Κρυπτογράφηση προσφέρουν ὀλεςοιυπηρεσίες που παρέχουν λύσεις cloud storage, 
ωστόσο στην πλειονότητα των περιπτώσεων κατέχουν και τα κλειδιά της αποκρυ- 
πτογράφησης. Ακριβώς γι αυτό ενδιαφερόµαστε για éva πρόσθετο στάδιο κρυπτο- 
γράφησης, το οποίο θα ελέγχουμε αποκλειστικά εμείς. Με άλλα λόγια, та δεδοµένα 
που θα συγχρονίζουµε μεταξύ του υπολογιστή µας και των Servers της εκάστοτε 
εταιρείας θα είναι ήδη κρυπτογραφηµένα - και το κλειδί της αποκρυπτογράφησης 
θα то κατέχουµε εμείς και μόνον εμείς. 
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Έξτρα κρυπτογράφηση για ra δεδοµένα µας ото cloud 


Па να πετύχουμε κάτι τέτοιο, µια πρώτη λύση που έρχεται στο μυαλό εἰναι το 
VeraCrypt. Πρόκειται για ένα εργαλείο που προσφέρει όλες τις λειτουργίες του 
πάλαι ποτέ TrueCrypt, ενώ διορθώνει κι όλες τις αδυναμίες που εἶχαν εντοπιστεί 
στο προαναφερθέν. H συγκεκριμένη λύση, αν και είναι αρκετά ισχυρή και µπορεί va 
εφαρμοστεί σε πολλές πλατφόρμες, παρουσιάζει EVA σηµαντικό μειονέκτημα: То 
VeraCrypt δημιουργεί κρυπτογραφηµένους τόμους, αλλά δεν µπορεί να кроптоүра- 
wel μεμονωμένα αρχεία. Αν δημιουργήσουμε έναν τέτοιο торо για την ασφαλή ano- 
θήκευση των δεδοµένων µας, προκειµένου να έχουµε πρόσβαση στα αρχεία µας 
μέσω κάποιας υπηρεσίας cloud storage θα πρέπει να συγχρονίζουµε ολόκληρο τον 
τόμο! Μάλιστα, εξαιτίας της φύσης των κρυπτογραφημένων δεδομένων, κάθε φορά 
που θατροποποιούµε ένα αρχείο εντός TOU κρυπτογραφηµένου τόμου, θαπρέπεινα 
το ανεβάζουµε ολόκληρο στο cloud εκ νέου. 


Γίνεται λοιπόν φανερό ότι η λύση της κρυπτογράφησης ενός δίσκου, ενός διαµε- 
ρίσµατος ή ενός εικονικού τόμου, ναι реу αυξάνει την ασφάλεια αλλά περιορίζει 
δραστικά την ευκολία όσον αφορά στο cloud. Υπάρχουν εξάλλου πολλές μέθοδοι 
για την κρυπτογράφηση ολόκληρων συστηµάτων αρχείων, αλλά κανένα δεν εξυπη- 
ρετεί ως προς τη συνεργασία µε то cloud storage. 


Ευτυχώς, αυτό το κενό ανάµεσα στην αυξημένη ασφάλεια και στην ευκολία, µπορεί 
να το καλύψει то EncFS. Av και T' буора του παραπέμπει στη δηµιουργία ενός Kpu- 
πτογραφημένου συστήµατος αρχείων, η συμπεριφορά rou беу EXEL καμία σχέση ue 
τις λύσεις που αναφέραμε μόλις. То EncFS στηρίζεται στους υπάρχοντες τόμους 
του υπολογιστή µας και, χωρίς να δημιουργεί κάποιο εξειδικευμένο σύστημα ap- 
χείων, καταφέρνει να κρυπτογραφεί όσα και όποια αρχεία θέλουμε. Με άλλα λό- 
για, αποτελεί έναν μηχανισμό κρυπτογράφησης και αποκρυπτογράφησης αρχείων 
ο οποίος τηρεί ra κρυπτογραφηµένα δεδοµένα στην υπάρχουσα υποδομή (τόμους 
και συστήµατα αρχείων). Έτσι, αντί να έχουµε ένα ογκώδες κρυπτογραφημένο ар- 
χείο µε όλα τα δεδοµένα µας (λύση τύπου VeraCrypt), διαθέτουμε πολλά και μικρά 
κρυπτογραφημένα αρχεία. Αυτή η προσέγγιση επιτρέπει τον γρήγορο συγχρονισμό 
των δεδοµένων µας και беу περιορίζει καθόλου την ευχρηστία που παρέχουν οι 
υπηρεσίες cloud storage. Παρεμπιπτόντως, αυξημένη ταχύτητα έχουµε και κατά τη 
χρήση των κρυπτογραφηµένων δεδομένων, αφού o υπολογιστής αποκρυπτογραφεί 
κάθε φορά Eva μόνο αρχείο κι όχι έναν ολόκληρο τόμο. 


Στα ενδότερα 


H λειτουργία του EncFS беу εἰναι πολύπλοκη. O χρήστης πρέπει να επιλέξει EVA 
κλειδί κρυπτογράφησης, καθώς και δύο τοποθεσίες εντός των αποθηκευτικών του 
μέσων. Στη μία θέση αποθηκεύονται ra κρυπτογραφημένα αρχεία, ενώ στην άλλη 
εμφανίζονται τα αρχεία στην πρωτότυπη/µη-κρυπτογραφηµένη µορφή. Παρατηρή- 
στε ότι μιλάμε για εμφάνιση των πρωτότυπων αρχείων και όχι για αποθήκευση, Oc 
ατήρηση ή κάτι τέτοιο. Στο δίσκο αποθηκεύεται «μόνον η κρυπτογραφημένη εκδοχή 
των αρχείων. H µη-κρυπτογραφηµένη εκδοχή παράγεται δυναμικά από то EH FES κι 
εμφανίζεται στη δεύτερη τοποθεσία, χωρίς να βρίσκεται πραγματικά εκεί. Ουσια- 
στικά, η δεύτερη τοποθεσία αποτελεί το σηµείο προσάρτησης (mount point) ενός 
εικονικού συστήµατος αρχείων, το οποίο περιλαμβάνει τα µη-κρυπτογραφηµένα 
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δεδομένα. Ως ек τούτου, στην περίπτωση που διακοπεί η λειτουργία του EncFS, то 
εικονικό σύστηµα αρχείων παύει να υφίσταται, αποπροσαρτάται αυτόματα και τα 
µη-κρυπτογραφηµένα αρχεία παύουν να είναι διαθέσιµα. Όπως αντιλαμβάνεστε, οι 
δύο θέσεις που αναφέραμε προσδιορίζονται апо δύο καταλόγους. О πρώτος, αυτός 
με τα κρυπτογραφηµένα δεδοµένα, πρέπει να βρίσκεται εντός του καταλόγου που 
συγχρονίζεται µε την υπηρεσία cloud storage. Αντίθετα, ο δεύτερος πρέπει να βρί- 
σκεται σε κάποια άλλη, ασφαλέστερη θέση. Κατ’ αυτόν τον τρόπο, τα αρχεία µας θα 
ταξιδεύουν στο δίκτυο KAL Ва αποθηκεύονται στους Servers της εκάστοτε εταιρείας 
όντας κρυπτογραφηµένα δύο φόρες (µία από το EncFS και µία апо To software της 
εταιρείας cloud storage). Φυσικά, για το πρώτο επίπεδο κρυπτογράφησης έχουµε 
τον αποκλειστικό έλεγχο των κλειδιών αποκρυπτογράφης εμείς και κανείς άλλος. 


Ot ruo δύσπιστοι αναγνώστες µπορεί να σκέφτονται ήδη ότι όλο και κάπου 8a κρύ- 
Berat κάποια παγίδα. H λύση που περιγράψαµε είναι αρκετά απλή για να είναι εύχρη- 
στη και ταυτόχρονα ασφαλής. Па την ευχρηστία πιστεύουμε ότι ба сас πείσουµε 
στη συνέχεια του άρθρου. Σε σχέση µε την ασφάλεια, όµως, πρέπει να σας πούμε 
ότι δεν είσαστε οι μόνοι που ανησυχείτε. O ερευνητής Taylor Hornby έχει εντοπίσει 
αρκετά σηµεία που беу του αρέσουν στο EncFS, το κυριότερο από τα οποία σχετί- 
ζεται µε την προεπιλεγµένη θέση αποθήκευσης των ρυθμίσεων. Το σχετικό αρχείο 
αποθηκεύεται στον κατάλογο µε τα κρυπτογραφηµένα αρχεία και περιλαμβάνει τη 
μέθοδο κρυπτογράφησης που επέλεξε ο χρήστης, ro δημόσιο κλειδί к.а. Σύμφωνα 
НЕ τον ερευνητή, αν κάποιος επιτιθέμενος διαβάσει το αρχείο ρυθμίσεων κι ato- 
κτήσει δύο ñ περισσότερα στιγμιότυπα (snapshots) των κρυπτογραφημένων αρχεί- 
ων, υπάρχει η πιθανότητα” να πετύχει την αποκρυπτογράφηση των δεδοµένων. 
Μέχρι σήµερα δεν έχει παρουσιαστεί κάποια απτή μέθοδος εκμετάλλευσης αυτής 
της αδυναμίας, αλλά ο θεωρητικός κίνδυνος παραμένει. Όπως έχουμε πει αρκετές 
φορές, η ευκολία έρχεται р Eva τίμημα. Αυτή τη φορά τουλάχιστον το τίμημα είναι 
μικρό, καθώς μιλάμε για έναν θεωρητικό κίνδυνο. Εξάλλου, πρέπει уа λάβουμε υπό- 
wn ότι δεν εξετάζουμε τη συγκρότηση του δικού µας συστήµατος συγχρονισμού και 
αποθήκευσης αρχείων. O σκοπός µας είναι va αυξήσουμε την ασφάλειαπου παρέχει 
µια υπάρχουσα υπηρεσία του είδους και χωρίς αμφιβολία τον πετυχαίνουµε. Σκε- 
φτείτε ότι αν η πιθανότητα του να "σπάσει" κανείς την κρυπτογράφηση του EncFS 
είναι πολύ μικρή, n δεσµευμένη πιθανότητα του να σπάσει αυτή την κρυπτογράφη- 
ση καθώς κι εκείνη που χρησιµοποιείται απὀ την υπηρεσία του cloud storage είναι 
«εξαιρετικά” µικρή. Ακολουθώντας αυτό το σκεπτικό συμπεραίνουμε ότι μπορούμε 
να χρησιμοποιήσουμε ro EncFS άφοβα, αλλά χωρίς va αγνοούμε εντελώς την έρευ- 
να του αγαπητού Hornby. 


Στη συνέχεια θα δούµε πώς μπορούμε va προφυλάσσουµε ακόµα περισσότερο τα 
αρχεία που συγχρονίζουµε µέσω Dropbox, δουλεύοντας τόσο σε Linux όσο και σε 
Windows. 
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@ Applications Places System €) 4) Ty => Пер Noé 19, 19:28 (5 


е delta@VirtualBox: ~ e 


File Edit View Search Terminal 

delta@VirtualBox:-$ € 
The directory "/home/qe ist. Should it be created? (y,n) y 
The directory "/home/delta/local" does not exist. Should it be created? (y,n) y 
Creating new encrypted volume. 

Please choose from one of the following options: 

enter "x" for expert configuration mode, 

enter "p" for pre-configured paranoia mode, 

anything else, or an empty line will select standard mode. 

2» p 


9 items, Free space: 3,3 GB 
ΕἼ delta@virtualBox: ~ 


Στιγμιότυπο από την πρώτη εκτέλεση rou EncFS στο δικό µας σύστημα. Επειδή 

οι κατάλογοι cloud και local δεν υπήρχαν, το πρόγραµµα προσφέρθηκε va τους 
δημιουργήσει. Στη συνέχεια ερωτηθήκαµε για τον τρόπο ρύθμισης του προγράµµατος 
και προτιμήσαμε τον προεπιλεγμένο, µε τον χαρακτηρισμό "paranoia". 


Εργασία στο Linux 


Το EncFS αναπτύχθηκε για το Linux και η λειτουργία του στηρίζεται στο γνωστό 
kernel module ονόματι FUSE. To εν λόγω άρθρωµα και η ομώνυμη βιβλιοθήκη αξι- 
οποιούν τη σχετική υποδομή του πυρήνα και επιτρέπουν σε απλά προγράµµατα να 
δημιουργούν και να χειρίζονται ολόκληρα Не systems. Εμείς εργαστήκαµε σε µια 
διανομή που βασίζεται στο Debian (Ubundu Mate) κι εγκαταστήσαμε το EncFS από 
τα repositories της διανομής: 


sudo apt-get install encfs 


H εγκατάσταση περιλαμβάνει τη λήψη κάποιων πρόσθετων αρχείων, καθώς και 
μια σύντομη ενηµέρωση үа ra αποτελέσµατα της έρευνας rou Hornby. Στα σχετικά 
ερωτήματα απαντάµε θετικά, η εγκατάσταση ολοκληρώνεται πολύ γρήγορα και TO 
EncFS είναι έτοιμο προς χρήση. Αν και υπάρχουν αρκετά GUIs για το χειρισμό του 
επιλέξαμε να δουλέψουμε από τη γραμμή εντολών, που επιτρέπει και την πλήρη 
παραμετροποίηση του προγράµµατος. 
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Ας υποθέσουμε ότι µέσα στο home directory του χρήστη µας υπάρχουν οι κατάλογοι 
cloud και local. O πρώτος συγχρονίζεται μεταξύ διαφόρων υπολογιστών µε τη βοή- 
θεια του Dropbox, ενώ ο δεύτερος είναι εκείνος από τον οποίο θέλουμε va αποκτά- 
UE πρόσβαση στα κρυπτογραφηµένα αρχεία. O πιο απλός τρόπος χρήσης του EncFS 


EXEL ως εξής: 
encfs -/cloud -/local 


Σημειώστε OTL av οι κατάλογοι cloud και local беу υπήρχαν, το πρόγραµµα беу ба 
διαμαρτυρόταν κι απλά Ва µας ρωτούσε αν επιθυμούμε τη δηµιουργία τους. Εκτε- 
λώντας την παραπάνω γραμμή, το EncFS θα µας απευθύνει µια σειρά ερωτήσεων 
σχετικά µε τους αλγόριθμους κρυπτογράφησης που θέλουμε να χρησιμοποιεί. Ot 
προεπιλεγμένες (παρανοϊκές) ρυθμίσεις προσφέρουν ικανοποιητική ασφάλεια. 
Αμέσως µετά, το πρόγραµµα ζητά να ορίσουµε έναν κωδικό πρόσβασης, τον οποίο 
θα πρέπει να δίνουμε για την αποκρυπτογράφηση των αρχείων. Αυτό ήταν όλο. 


(©) Applications Places System © 4) ty = Nep Noé 19, 19:28 (5 
e delta@VirtualBox: ~ [x] 


Paranoia configuration selected. 


Configuration finished. The filesystem to be created has 
the following properties: 

Filesystem cipher: "ssl/aes", version 3:0:2 

Filename encoding: "nameio/block", version 4:0:2 

Key Size: 256 bits 

Block Size: 1024 bytes, including 8 byte MAC header 

Each file contains 8 byte header with unique IV data. 
Filenames encoded using IV chaining mode. 

File data IV is chained to filename IV. 

File holes passed through to ciphertext. 


WARNING 
The external initialization-vector chaining option has been 
enabled. This option disables the use of hard links on the 
filesystem. Without hard links, some programs may not work. 
The programs 'mutt' and 'procmail' are known to fail. For 
more information, please see the encfs mailing list. 
If you would like to choose another configuration setting, 
please press CTRL-C now to abort and start over. 


Now you will need to enter a password for your filesystem. 

You will need to remember this password, as there is absolutely 
no recovery mechanism. However, the password can be changed 
later using encfsctl. 


New Encfs Password: 


a deltagvirtualBox: ~ 


Αμέσως µετά την επιλογή των επιθυμητών ρυθµίσεων, καλούμαστε 
να ορίσουµε τον κωδικό για το Κλείδωμα των αρχείων µας. 
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Αν τσεκάρουµε τα προσαρτηµένα συστήµατα αρχείων µε τη βοήθεια του εργαλεί- 
ου df, θα διαπιστώσουμε ότι στον κατάλογο ~/local έχει προσαρτηθεί ένα νέο file 
system του τύπου fuse.encfs. Πλέον, av τοποθετήσουµε κάποιο αρχείο εντός TOU 
local, το περιεχόµενο του αρχείου Ва κρυπτογραφηθεί αυτόματα και θα αποθηκευ- 
теі στον κατάλογο ~/cloud, µε Eva επίσης κρυπτογραφημένο буора. Στον (Oto τον 
κατάλογο local δεν ба αποθηκευτεί απολύτως τίποτα. Па тоо λόγου το αληθές, рпо- 
ρείτε να κάνετε ένα μικρό πείραμα. Αφού αποπροσαρτήσετε τον εν λόγω κατάλογο, 
επιστρατεύστε боа προγράµµατα ανάκτησης δεδοµένων θέλετε. Να είσαστε σίγου- 
pot ότι δεν πρόκειται va βρείτε τίποτα, αφού το EncFS φροντίζει να γράφει µόνο την 
κρυπτογραφηµένη εκδοχή των δεδομένων και μόνο στον κατάλογο cloud. Τα αρχεία 
σε µη-κρυπτογραφημένη µορφή δεν αποθηκεύονται πουθενά! Παρεμπιπτόντως, 
όπως συμβαίνει µε πολλά συστήµατα αρχείων που στηρίζονται στο FUSE, για την 
αποπροσάρτηση του local μπορούμε να χρησιμοποιήσουμε το εργαλείο fusermount 
κάπως έτσι: 


fusermount -u -/local 


@ Applications Places System © 4) ty = Nep Noé 19, 20:50 (5 


File Edit View Go Bookmarks Help 


$ Back ~ P E 


places ΠΗ ° delta@VirtualBox: -/cloud 


ШІ j 100% (2) IconView LEN 


Computer 
delta 
B Desktop delta@VirtualBox:~/cloud$ df -hT 


Filesystem Type 12е Used Avail Use% Mounted on 
udev devtmpfs 473M Ө 473M 0% /dev 

= 

[Documents ΠΕ tmpfs 98M 5,2М 93М 6% /гип 


file System 


E Downloads ЗЕЕ ext4 6,8G 3,4G 3,1G 53% / 
id Music tmpfs tmpfs 489M 72ӨК 488М 1% /dev/shm 
[8 Pictures tmpfs tmpfs 5,ӨМ 4,ӨК 5,0M 1% /run/lock 
tmpfs tmpfs 489M Ө 489М 0% /sys/fs/cgroup 
A Videos tmpfs tmpfs 98M 28K 98M 1% /run/user/1000 
Trash tmpfs tmpfs 98M 44K 98M 1% /run/user/1001 
local Meacfs fuse encfs 6,80 3,40 3,10 53% /home / delta / local 
= ши delta@VirtualBox:~/cloud$ 
Network 


Browse Net... 


3items, Free space: 3,3 СВ 
ΕἼ delta@VirtualBox: ~/cl... N delta 


Αν pigoupe ша µατιά στα просартпиғуа συστήµατα αρχείων, 
θα δούµε ότι το EncFS δημιούργησε έναν εικονικό τόμο και τον 
προσάρτησε στον Κατάλογο local. 
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Αν προσπαθήσουμε να ξεκινήσουμε ξανά το EncFS, δηλώνοντας ως προορισμό για 
τα κρυπτογραφηµένα αρχεία rov (Oto κατάλογο (cloud), το πρόγραµµα беу Ва εμφα- 
νίσει τις ερωτήσεις που αναφέραμε προηγουμένως. Θα ζητήσει µόνο τον κωδικό 
για την αποκρυπτογράφηση. Βλέπετε, στον κατάλογο µε τα κρυπτογραφηµένα ap- 
χεία αποθηκεύονται και όλες οι ρυθµίσεις του προγράµµατος. Το σχετικό αρχείο 
(.encfs6.xml) είναι εξέχουσας σημασίας. Αν χαθεί θα χαθούν μαζί και τα δεδοµένα 
μας, αφού η αποκρυπτογράφησή τους θα εἰναι πλέον αδύνατη. Όπως αναφέραμε 
εισαγωγικά, η θέση αποθήκευσης αυτού του αρχείου ήταν Еуа από τα στοιχεία που 
ανησύχησαν ιδιαίτερα rov ερευνητή Taylor Hornby. Έτσι, σε µια προσπάθεια va nep- 
ορίσουμε τις πιθανότητες 'σπασίματος' της κρυπτογράφησης του EncFS, θα δούμε 
πώς μπορούμε να αλλάξουμε τη θέση του. 


$ Back + 


с 


Places v Ж 4 Location: |/home/delta/local @ 


EH (=) 100% (© IconView : Q 


Computer m= Ü, ы 
(в delta — sai eat 
iles iles 

ΒΒ Desktop | Fil 


untitled folder a file a file (copy) 


Li File System 
ІГІ Documents 


E Downloads 

ІШ Music А = 

[8 Pictures < Back ~ F +$ с ШІ - 100% (©) IconView 

a vi 

а Videos Places v Ж 4 Location: |/home/delta/cloud 

— Trash | — : 

ISƏ a | Computer m 5 Е 
= ili delta Ld и m 
Network iei de — 110 tore 

Шы Browse Net... — mu C7RrScilnYAQ8Qxa ^ HXU48COU9XBJ3Vp qrYnZ6zOD,- 
file System NxD9-hfo mLprgRy6w QEzQgUplinpi9 
ІГІ Documents 
Ей Downloads N 
ІШ Music 


Pictures 


Όταν εργαζόµαστε στο φάκελο που παρέχει πρόσβαση ora 
μη-κρυπτογραφηµένα αρχεία, είναι δύσκολο να φανταστούμε 

ro μπάχαλο που μοιάζει να επικρατεί στον πραγµατικό φάκελο 
αποθήκευσης των αρχείων. Το EncFS φροντίζει να κρυπτογραφεί 
τόσο Το περιεχόµενο των αρχείων, боо και τα ονόματά τους. 
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Αποφασίσαμε va αποθηκεύσουµε το αρχείο ρυθµίσεων του EncFS στο home 
directory του χρήστη µας. Όπως αντιλαμβάνεστε δεν πρόκειται για την πιο ασφαλή 
τοποθεσία, αλλά είναι σίγουρα προτιμότερη апо τον κατάλογο cloud, που συγχρονί- 
ζεται µε το Dropbox. Όποια επιλογή κι αν κάνετε εσείς για την αποθήκευση του αρ- 
χείου ρυθμίσεων, πρέπει να ενημερώσετε kar то EncFS ката rnv εκκἰνησή rou. Αυτό 
δεν γίνεται µε τη βοήθεια κάποιας παραμέτρου, αλλά µε τη χρήση µιας μεταβλητής 
περιβάλλοντος που EXEL TO όνομα ЕМСЕ56. CONFIG. Στη δική µας περίπτωση,γιανα 
ξεκινήσουμε το EncFS πληκτρολογούμε 


export ENCFS6_CONFIG=-/.encfs6.xml 
και μετά 
encfs -/cloud -/local 


Σε αυτό το σηµείο µπορεί va προβληµματιστείτε. Υποτίθεται ότι επιλέξαμε ro EncFS 
επειδή θα αύξανε rnv ασφάλεια χωρίς va µας παιδέψει. Ωστόσο, ο ορισμός µιας 
μεταβλητής περιβάλλοντος πριν από την εκτέλεση, έστω κι αν πραγματοποιείται 
μόνο µία φορά σε κάθε επανεκκίνηση του υπολογιστή, ίσως θεωρηθεί κάπως µπε- 
λαλίδικη. Μια καλή ιδέα θα ήταν η δηµιουργία ενός uucpookorukoü BASH script, που 
θα ορίζει τη μεταβλητή ENCFS6_CONFIG και στη συνέχεια θα εκτελεί ro EncFS µε 
τις κατάλληλες παραμέτρους. Εμείς φτιάξαμε το σχετικό script kat του δώσαμε то 
όνομα cloud. unlock.sh. Επειδή μάς αρέσουν η κομψότητα και η συμμετρία, δηµιουρ- 
γήσαμε κι éva script µε το буора cloud. lock.sh. Αυτό το δεύτερο script αξιοποιεί то 
fusermount κι αποσυνδέει TOV κατάλογο που παρέχει πρόσβαση ora αποκρυπτογρα- 
φημένα αρχεία. 


Πριν προχωρήσουμε, οφείλουμε να σταθούμε σε μία ακόµα λεπτομέρεια. Αν ο φά- 
κελος µε τα κρυπτογραφηµένα αρχεία καταλήγει µέσω rou Dropbox και σε άλλους 
υπολογιστές, είναι βέβαιο ότι θα επιθυμούμε την αποκρυπτογράφησή τους κι εκεί. 
H αποκρυπτογράφηση, όµως, προῦποθέτει την παρουσία του αρχείου ρυθμίσεων 
µε το οποίο έγινε η κρυπτογράφηση. [L αυτό το λόγο, µια καλή ιδέα θα ήταν va ano- 
θηκεύσουμε το .encfs6.xml μέσα о éva USB stick. Έτσι, το αρχείο ρυθµίσεων θα 
μας συνοδεύει πάντα και θα μπορούμε va αποκρυπτογραφήσουµε τα αρχεία µας σε 
οποιονδήποτε υπολογιστή κι αν βρεθούμε. 


Χρήση στα Windows 


Ας αλλάξουμε τώρα κόσµο κι ας περάσουμε στα Windows. Όπως εἰπαμε, το EncFS 
αναπτύχθηκε για το Linux και στηρίζεται στη βιβλιοθήκη FUSE. Επομένως, ro ἰδιο 
то ЕпсЕ5 беу θα μπορούσε να τρέξει στα Windows. Το EncFS όµως αποτελεί προϊόν 
Ανοιχτού Κώδικα κι αυτό σηµαίνει OTL TO source code εἰναι διαθέσιµο σε κάθε ενδια- 
φερόμενο. Έτσι, UE την πάροδο του χρόνου εμφανίστηκαν πολλές εκδοχές TOU про- 
γράμματος που προσφέρουντηνδιαλειτουργικότητακαιείναιπροσαρµοσµένες ота 
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Windows. Αν κάνετε µια σχετική αναζήτηση θα βρείτε αρκετές δημοφιλείς υλοποιή- 
σεις, όπως το encfs4win, то Safe και то EncFSMP. Ξεχωρίσαμε то τελευταίο, καθώς 
προσφέρει τις περισσότερες επιλογές, αρκετά µεγάλη ταχύτητα και υψηλό επίπε- 
o συμβατότητας µε ro αυθεντικό’ EncFS. Το EncFSMP εξάλλου εκτελείται και στο 
OS X, γεγονός που επεκτείνει το πεδίο εφαρµογής της λύσης που παρουσιάζουμε. 
Μπορείτε να το κατεβάσετε από τη διεύθυνση http://encfsmp.sourceforge.net. 


Н εγκατάσταση εἶναι απλή και беу απαιτεί κάτι ιδιαίτερο από µέρους µας. Μετά την 
ολοκλήρωσή της μπορούμε va ξεκινήσουμε το πρόγραµµα апо το σχετικό εικονίδιο 
που θα βρούμε στο μενού "Έναρξη". Апо το παράθυρο που εμφανίζεται рпорооре va 
επιλέξουμε πρόσθετους φακέλους γιατην αποθήκευση κρυπτογραφημένων αρχεί- 
ων, να 'συνδεθούμε" σε ήδη υπάρχοντες καταλόγους µε κρυπτογραφηµένα αρχεία, 
να αλλάξουμε τις ρυθμίσεις του προγράµµατος κ.ο.κ. 


E EncFS MP 
File Tools Options Help 


Create new EncFS Open existing EncFS 


Mounts 


Mounted Name EncFSpath Drive 
No delta C:\Users\p... Auto 


Το κεντρικό παράθυρο του EncFSMP παρέχει όλες τις 
βασικές λειτουργίες του προγράµµατος. Από εδώ μπορούμε 
va просартойџ και να αποπροσαρτούµε καταλόγους µε 
κρυπτογραφηµένα αρχεία. 


Πα τη δηµιουργία ενός νέου κρυπτογραφηµένου τόμου, αρκεί να πατήσουµε TO KOU- 
рпі Create new EncFS. Έτσι, εµφανίζεται ένα νέο παράθυρο µε όλες τις avapevópe- 
vec επιλογές. Από εκεί καθορίζουµε τον κατάλογο στον οποίο θα αποθηκεύονται 
τα κρυπτογραφηµένα αρχεία, τον κωδικό κλειδώματος των αρχείων, τις ρυθμίσεις 
της κρυπτογράφησης και, τέλος, επειδή βρισκόμαστε ora Windows όπου беу χρησι- 
μοποιούνται κατάλογοι ως mount points, το γράμμα που θα χρησιμοποιείται για την 
προσάρτηση του εικονικού file system. Όταν ολοκληρώσετετις ρυθμίσεις και πατή- 
сете στο κουμπί OK, θα διαπιστώσετε ότι беу ба συμβεί τίποτα. Αυτό είναι πολύ λο- 
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γικό, αφού οι ρυθµίσεις µας έχουν αποθηκευτεί κάπου αλλά δεν έχουν εφαρμοστεί 
πουθενά. Па την εφαρµογή τους πρέπει να προχωρήσουμε στην προσάρτηση του 
καταλόγου ре ra κρυπτογραφηµένα αρχεία. Πα να γίνει κάτι τέτοιο, από το κεντρικό 
παράθυρο του προγράµµατος επιλέγουμε TO буора που δώσαμε στον τόμο και па- 
τάμε το κουμπί Mount. Μετά από αυτό, αν ρίξουμε µια матка στον Windows Explorer 
θα διαπιστώσουμε ότι προστέθηκε ένας νέος τοπικός δίσκος. Όπως αντιλαμβάνε- 
OTE, µέσα από αυτόν θα έχουµε πρόσβαση στα µη-κρυπτογραφηµένα αρχεία, θα uno- 
ρούμε να τα τροποποιούμε, να ra διαγράφουµε ñ και να προσθέτουμε άλλα. Όπως 
πάντα, όµως, τα δεδοµένα µας θα αποθηκεύονται μόνο σε κρυπτογραφηµένη µορφή 
και μόνο στον κατάλογο που έχουµε επιλέξει. Μια λεπτομέρεια που αξίζει va ava- 
φέρουμε είναιτο μέγεθος που φαίνεται να έχει ο δίσκος µε τα µη-κρυπτογραφηµένα 
αρχεία. Όπως θα δείτε, το μέγεθός του θα ισούται µε τον ελεύθερο χώρο που έχει 
ο δίσκος εντός του οποίου βρίσκεται ο κατάλογος µε ra κρυπτογραφηµένα αρχεία. 
Αυτό συνάδει απόλυτα µε τον τρόπο λειτουργίας του προγράµµατος, αφού όπως 
ἐχουμεπει TO EncFS πατάει’ στο υπάρχον σύστημα αρχείων και µπορεί va χρησιµο- 
ποιήσει όλο το διαθέσιμο χώρο. 


Mount name: delta 


EncFS path: C:\Users\petros\Desktop\clou 
Use external config file: 


External config file: C:\Users\petros\Desktop\encf 


Password: eee 


Retype Password: eee 


Store password: | | 


Drive letter: Auto v 


Local drive: |v 


Enable caching: 
EncFS parameters 
Configuration Cipher algorithm: 
© Standerd Cipher keysize: 
(ә Paranoia 
вета Cipher blocksize: 
Name encoding: 
Per-block HMAC: 
Unique IV: Στην εικόνα βλέπουμε τη δηµιουργία ενός 
νέου εικονικού τόμου. Ta κρυπτογραφημένα 
Chained IV: αρχεία Ва αποθηκεύονται στον Κατάλογο 
C:\users\Petros\Desktop\cloud και n 
External IV: προσάρτησή Tou θα πραγματοποιείται σε 
ΠῚ ў ένα δίσκο µε γράμμα που θα επιλέγεται 
Key derivation duration (ms): | αυτόματα (επιλογή rou auto στο πεδίο drive 


letter). Το όνοµα του εν λόγω δίσκου (mount 
name) θα είναι "delta". 
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Πα την αποπροσάρτηση του ενός τόμου, αρκεί va πατήσουµε то κουμπί Unmount. 
Όπως θα διαπιστώσατε апо τη σύντομη περιγραφή µας, η χρήση του EncFSMP δεν 
παρουσιάζει καμία δυσκολία. Στις δοκιμές που πραγµατοποιήσαµε κατάφερε va 
αποκρυπτογραφήσει άνετα και χωρίς προβλήματα τα αρχεία που εἶχαν κρυπτογρα- 
φηθεί апо то EncFS στο Linux. Φυσικά, η διαφοροποίηση μεταξύ των συστηµάτων 
αρχείων που χρησιμοποιούνται στα δύο λειτουργικά (Ext4 στο Linux και МТЕ5 στα 
Windows) επιφέρει κάποια μικρά προβλήματα. To πιο χαρακτηριστικό σχετίζεται 
µε τις ιδιότητες των αρχείων, που σε κάθε λειτουργικό σύστημα είναι εντελώς δι- 
αφορετικές. Έτσι, η μόνη ιδιότητα που μοιάζει να λειτουργεί σωστά και στις δύο 
περιπτώσεις εἶναι εκείνη της ανάγνωσης - το read only. 


Ὀργάνωση т Συμπερίληψη στη βιβλιοθήκη v Κοινήχρήσημε. Εγγραφή Νέος φάκελος 

ж Αγαπημένα Όνομα ia Ημερομηνία τροπ... Τύπος Μέγεθος 
ШЕ ἐπιφάνεια εργασίας |. uT7Q1bMPZLudqdZ6DA4nkPXifKGRkbY.. 19/11/2015 8:30 pu Φάκελος αρχείων 
04 Λήψεις 121 70IKb-zhP-Icc4XdO-4Z,D0rW4p0ggoi6Vc... 8/10/2015 6:36 pu Αρχείο 23271 ΚΒ 
| Πρόσ.θέσεις L qzMhtDM3AInsb,OpTunRACIKB7fjKPjy9.. 19/11/2015 8:28 up Αρχείο 13 КВ 


TI Βιβλιοθήκες 
Е Βίντεο 


à | 
Gore » Υπολογιστής » delta Zr — = МЕ!!! Αναζήτι 


CÌ Έγγραφα 
E] Εικόνες Opyávuon v Συμπερίληψη στη βιβλιοθήκη” Κοινήχρήσημε. Εγγραφή Νέος φάκελος 
2 Μουσική ж ο ος Όνομα S Ημερομηνία τροπ.. Τύπος Μέγεθος 
44 Οικιακή орав ШЕ Επιφάνεια εργασίας | Νέος φάκελος 19/11/20158:30μμ Φάκελος αρχείων 
Kak ομάδα 
3 8 Λήψεις Æ| deltaHacker Season 02 promo 2.mp4 8/10/2015 6:36 pp Βίντεο MP4 23,095 KB 
А ІІ Πρόσ.θέσεις w) Νέο Έγγραφο του Microsoft Word.docx 19/11/2015 8:28 pu Έγγραφο του Mic... 13КВ 
|М Υπολογιστής 
& Τοπικός δίσκος (С:) 58 Βιβλιοθήκες 
= Αφαιρούμενος біск 2 Bl Βίντεο 
cx delta (Z:) ΕἸ Έλενα 
r* "m li] Εικόνες 
sad а) Μουσική 
τς FUJITSU 
ІШ LEO-PC 
a Οικιακή ομάδα 
. va¹⁰ ы с 
* Υπολογιστής 


% Τοπικός δίσκος (С:) 


Σε πρώτο πλάνο βλέπουμε τη µη-κρυπτογραφηµένη εκδοχή των 
αρχείων, µέσα στον εικονικό δίσκο 2:, που έχει το όνομα "delta". 
Στο πίσω παράθυρο βλέπουμε την κρυπτογραφημένη εκδοχή 
των δεδοµένων µας, εντός του καταλόγου cloud. 


Εν κατακλείδι, πρέπει να τονίσουμε ότι то EncFS беу προσφέρει ασφάλεια γαλαξι- 
ακού επιπέδου. Αυξάνει ωστόσο κατακόρυφα (2.7.E. through the roof, βρε παιδί µου) 
την ασφάλεια που προσφέρει µια υπηρεσία σαν το Dropbox από µόνη της. Εξάλλου, 
το γεγονός ότι κάθε αρχείο κρυπτογραφείται ξεχωριστά και αποθηκεύεται σε ένα 
“κανονικό’ σύστηµα αρχείων, διευκολύνει ката πολύ τη χρήση υπηρεσιών cloud 
storage και παρέχει oro EncFS ένα σηµαντικό προτέρηµα έναντι των υπολοίπων 
εργαλείων κρυπτογράφησης. Να σημειώσουμε τέλος ότι η ομάδα ανάπτυξης του 
EncFS εἰναι ενήµερη για τις θεωρητικές αδυναμίες που έχουν εντοπιστεί και δου- 
λεύει ήδη για την αντιμετώπισή τους. Έχοντας αυτά κατά νου, πιστεύουμε ότι θα 
αγαπήσετε ro EncFS «τουλάχιστον: боо το αγαπάμε κι εμείς. 
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Skill: Intermediate 
Tags: Wireshark, pfSense, bandwidth hogs, traffic shaping, limiters, aliases, scheduling, firewall rules 


Περιορισµός TOU 
bandwidth για τους 
αχόρταγους 


Είστε ο υπεύθυνος διαχειριστής ενός δικτύου. Παρατηρείτε ότι κάποιες ώρες 
μέσα στην ηµέρα γίνεται κατάχρηση του bandwidth. Την ίδια στιγµή αρκετοί 
χρήστες δεν μπορούν να κάνουν τη δουλειά τους. Γίνεστε, φυσικά, ο αποδέκτης 
των παραπόνων τους. Ποιοι και πώς προκαλούν όλη αυτή την αναστάτωση; Τι 
µπορείτε να κάνετε ὥστε уа µην έχετε τέτοιου είδους προβλήματα, апо τώρα 
και στο μέλλον; 


του Χρήστου Βαρελά 


Αναλόγως rou bandwidth που διατίθεται για ένα τοπικό δίκτυο, ένας ñ δύο χρή- 
στες εἰναι δυνατόν να το εκμεταλλεύονται σχεδόν αποκλειστικά. Ως αποτέλεσµα, 
εντελώς ξαφνικά όλοι οι άλλοι χρήστες δυσκολεύονται να κάνουν ακόµη και απλές 
εργασίες, όπως, π.χ. λήψη email ñ web browsing. H αλήθεια είναι ότι το πρόβλημα 
με τους λεγόμενους "bandwidth hogs" προκύπτει αρκετά συχνά. Αν μιλάμε για ένα 
μικρό δίκτυο ο εντοπισμός τους εἶναι απλός και, προκειµένου να µην ἔχουμε ξανά 
παρόμοια προβλήματα στο μέλλον, μερικές συστάσεις ενδεχομένως να αρκούν. 
Όμως о καλός διαχειριστής δικτύων δεν σκέφτεται τόσο απλοϊκά - για την ακρί- 
βεια σπάνια έχει αυτή την πολυτέλεια. Πέρα από τις συστάσεις γνωρίζει ότι εἶναι 
σημαντικό να επιβάλλει, κεντρικά και µε τεχνικά μέσα, συγκεκριμένες πολιτικές 
συνετής χρήσης. 


Στο παρόν άρθρο θα δούµε πώς ανακαλύπτουμε τι προκαλεί την υπερβολική KATA- 
νάλωση bandwidth, καθώς και τα μηχανήματα που εμπλέκονται. П' αυτή τη δουλειά 
θα καταφύγουµε στις υπηρεσίες rou packet analyzer ονόματι Wireshark. Υποθέτου- 
με επίσης ότι έχουµε πλήρη πρόσβαση στον router του τοπικού δικτύου, ο οποίος 
τρέχει το pfSense. Αντί για το pfSense θα μπορούσε να τρέχει TO OpenBSD ἡ κά- 
ποια διανοµή Linux. Σε κάθε περίπτωση, καταλαβαίνετε ότι δεν μιλάμε για ένα απλό 
consumer grade router αλλά για κάτι πιο ευέλικτο. Αυτό πάντως που κυρίως µας 
ενδιαφέρει να παρακολουθήσουμε εἰναι το σκεπτικό του διαχειριστή δικτύου και, 
κυρίως, το πώς υλοποιεί µια πολιτική ώστε οι bandwidth hogs να µη δημιουργούν 
προβλήµατα. Έχετε υπόψη ότι τέτοιου είδους πολιτικές δεν βρίσκουν εφαρµογή 
μόνο σε χώρους εργασίας, αλλά και σε σχολικά/πανεπιστηµιακά εργαστήρια ή ακό- 
µη και σε οικιακά δίκτυα, όπου κάποια µέλη έχουν µεγάλο έρωτα pe ro BitTorrent. 
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Σηµείωση. Μια καλή εισαγωγή ото Wireshark γίνεται στο δεύτερο άρθρο της μίνι σει- 
рас περί packet analysis (http//deltahacker.gr/?p-8966), στο τεύχος 020 του περιοδικού 
(http://deltahacker.gr/deltahacker020). Σχετικά µε ro pfSense, εξάλλου, ro αγαπημένο μας 
λειτουργικό σύστημα για χρήση router/firewall, µπορείτε να παρακολουθήσετε το εκτενές 
deltaCast 501607 (http://deltahacker.gr/deltacast-s01e07). 


Παρατήρηση του προβλήματος και διερεύνηση 


Μέσα από ro web panel rou pfSense έχουµε πρόσβαση σε µια σειρά апо γραφήματα 
που οπτικοποιούν διάφορες όψεις της συμπεριφοράς rou router, καθώς και της κα- 
τάστασης που επικρατεί στο τοπικό δίκτυο. Συγκεκριµένα, δίνοντας Status > RDP 
Graphs κι επιλέγοντας την καρτέλα Traffic, παρακολουθούμε ζωντανά τη δικτυακή 
κίνηση σε καθένα апо ra network interfaces rou router. Κάθε φορά που γίνεται κατά- 
χρηση του bandwidth το γεγονός αντικατοπτρίζεται στο γράφημα για TO WAN, που 
εἶναι ro interface µε το οποίο ro pfSense επικοινωνεί µε τον έξω κόσµο. Εκτός από 
κάποιες -πρακτικά στιγμιαίες- εξάρσεις στη χρήση του bandwidth, τα χρονικά ðt- 
αστήµατα όπου έχουµε κατάχρηση απεικονίζονται ξεκάθαρα. Παρατηρήστε, T.X., TO 
ακόλουθο screenshot. 


W pfsense.colder.xyz - Statu: X 


€ С | & bitps//pfsense/status rrd graph.php?cat-traffic&option-wan&istyle-absolute&period- current 


System > Interfaces} Firewall — » Services %ҰРМ Status > Diagnostics ^ Gold Help 


Status: RRD Graphs 
v racic | [m r> | өзне | von | custom | r> 


Note: Change of color and/or style may not take effect until the next refresh 


Graphs: | WAN Y | Style: | Absolute Y period: Current Period М 
pfsense.colder.xyz - МАМ :: Traffic - 6 hours - 1 minute average 
20 M+ 
18 M 
16 M 
14 M 
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вм 
6Η 
4M 
2M 
° 
08:00 69:00 10:00 11:00 12:00 
Blwan-in-block Biwan-in-pass Eb wan-in6-block  wan-in6-pass 
Ebwan-out-block  Blwan-out-pass Blwan-out6-block W wan-out6-pass 
Blwan-in (95%) Ш мап-оиї (95%) 
maximum average current period S5th percentile 
IPv4 in-pass 10.24 Mb/s 2.49 Mb/s 0,54 Mb/s 6.75 GB i 10.24 Mb/s 
IPv4 out-pass 325.30 kb/s 70.73 kb/s 53.07 kb/s 192.11 MB o 290.96 kb/s 
IPv4 in-block 13.99 kb/s 2.14 kb/s 0.52 kb/s 5.83 MB i 
IPv4 out-block 0.00 b/s 0.00 b/s 0.00 b/s 0.00 
IPv6 in-pass 0.00 b/s 0.00 b/s 0.00 b/s 9.09 
ІРуб out-pass 0.00 b/s 0.00 b/s 0.00 b/s 0.00 
ІРуб in-block 0.00 b/s 0.00 b/s 0.00 b/s 0.00 
ІРуб out-block 0.00 b/s 0,00 b/s 9,00 b/s 9.08 
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Γραφική αναπαράσταση της δικτυακής Κίνησης για то WAN interface rou router µας. Υπάρχουν κάποιες περιπτώσεις 
στιγµιαίας, πρακτικά, έξαρσης στη χρήση bandwidth, οι οποίες δεν δημιουργούν κανένα πρόβλημα απολύτως [βλ. (1). H 
κατάσταση αλλάζει δραματικά όταν έχουµε παρατεταμένο downloading που αφενός φτάνει στο άνω όριο της γραμμής µας, 
αφετέρου διαρκεί για αρκετό χρόνο [BA. (2) και (3)]. Σκεφτείτε ότι όλη αυτή η "κατανάλωση" πιθανώς να οφείλεται σε ένα 
μόνο μηχάνημα του τοπικού δικτύου, είναι όµως αρκετή ώστε όλοι οι χρήστες να βιώνουν αισθητά περιορισμένη ταχύτητα 
σύνδεσης, ακόµη και για δραστηριότητες όπως, π.χ., Το απλό web browsing. 
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θέλοντας va δούµε καλύτερατι συμβαίνει, δηλαδή ποια μηχανήματα είναι υπεύθυνα 
για την κατάχρηση και, αν είναι δυνατόν, τι περίπου κάνουν, µια λύση είναι va / 
νήσουμε μερικά δοκιμαστικά packet captures στο interface που βλέπουν οι πελάτες 
του pfSense. To εν λόγω interface για πολλούς θα εἰναι το LAN, αν κι αυτό δεν είναι 
απαραίτητο. Στο δικό µας pfSense box, π.χ., το interface που βλέπουν οι clients είναι 
το ОРТ? (bridge των OPT1 και LAN, βλ. http://deltahacker.gr/?p=10507). Προσέξτε: 
Ме packet capture στο WAN ναι μεν θα βλέπουμε µε ποια hosts στο Internet επικοι- 
νωνεί o router, αλλά Óxt ποια μηχανήματα πίσω του ἔχουν ξεκινήσει τις αντίστοιχες 
συνδέσεις. Περιττό να σημειώσουμε ότι τα packet captures καλό εἰναι να γίνονται 
όταν παρατηρείται έντονη δικτυακή δραστηριότητα. Τώρα, προκειµένου να ξεκινή- 
σουµε την καταγραφή των πακέτων, апо ro web panel του pfSense ακολουθούμε τη 
διαδρομή Disgnostics > Packet Capture. 


Р, 9 paaie - ар ж V 
€ > Q | & beps://pfsense/diag_packet_capture.php s E, z 


System Interfaces „ Firewall * Services + VPN > Status Diagnostics * Gold Pr Help 


Diagnostics: Packet Capture 


Packet capture 


[орт2 "| 
‘Select the interface on which to capture traffic. 


ы 
If checked, the packet capture will be performed using promiscuous mode. 
Note: Some network adapters do not support or work well in promiscuous mode. 


[any т] 
Select the type of traffic to be captured, either Апу, IPv4 only or IPv6 only, 


[Any т 
Select the protocol to capture, or Апу, 


This value is either the Source or Destination IP address or subnet іп CIDR notation. The packet capture will look for 
this address in either field. 

Matching сап be negated by preceding the value with 7”, Multiple ІР addresses or CIDR subnets may be specified. 
Сотта (777) separated values perform a boolean “and”. Separating with a pipe ("|") performs a boolean "οι". 

If you leave this field blank, all packets on the specified interface will be captured. 


The port can be either the source or destination port. The packet capture will look for this port in either field. 
Leave blank if you do not want to fiter by port, 


0 


The Packet length is the number of bytes of each packet that will be captured, Default value is 0, which will capture the 
entire frame regardless of its size, 


0 
This is the number of packets the packet capture will grab, Default value is 100. 
Enter 0 (zero) for no count limit. 


[Normal Y| 
This is the level of detail that will be displayed after hitting top when the packets have been captured. 
Note: This option does not affect the level of detail when downloading the packet capture. 


8 
This check box will cause the packet capture to perform a reverse DNS lookup associated with all IP addresses. 
Hote: This option can cause delays for large packet captures. 


| start || view Capture || Download Capture | 
The packet capture file was last updated: December 8th, 2015 1:07:19 pm. 


Έτοιμοι για ένα packet capture στο OPT2 (1), To οποίο για την περίπτωσή µας 
είναι ro network interface rou router που βλέπουν τα μηχανήματα του τοπικού 
δικτύου. Αφήνουμε тіс προεπιλογές φροντίζοντας µόνο ώστε va ισχύει Count = 
0 (2). Έτσι, η καταγραφή των πακέτων θα συνεχίζεται έως ότου αποφασίσουµε va 
τη διακόψουμε. H διαδικασία ξεκινά µε ένα κλικ στο κουμπί Start (3). 
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` pfsense.colderxyz - Diagn X 


< X [X hepS//pfsense/diag packet capture. php 


к System > Interfaces * Firewall Services + VPN > Status + Diagnostics » Gold » Help 


0 


The Packet length is the number of bytes of each packet that will be captured, Default value is 0, which will capture the 
entire frame regardless of its size, 


0 


This is the number of packets the packet capture will grab. Default value is 100. 
Enter 0 (zero) for no count limit. 


This is the level of detail that wil be displayed after hitting ‘Stop’ when the packets have been captured. 
Note: This option does not affect the level of detail when downloading the packet capture. 


This check box will cause the packet capture to perform a reverse DNS lookup associated with all IP addresses. 
Note: This option can cause delays for large packet captures. 


| start || View Capture || Download Capture 
The packet capture file was last updated: December 9th, 2015 8:52:36 pm. 


Packet Capture stopped. 


Packets Captured: 


20:47:08.701519 ІР 85.86.8. 
20:47:08.701756 ІР 192.168. 
20:47:08.701892 IP 192.168. 
20:47:08.701907 IP 192.168. 
20:47:08.701959 IP 192.168. 
20:47:08.702038 IP 192.168. 
20:47:08.702120 IP 192.168. 
20:47:08.702159 IP 192.168. 
20:47:08.702204 ΤΡ 192.168. 
20:47:08.702212 IP 192.168. 
20:47:08.702248 IP 192.168. 
20:47:08.702255 ІР 192.168. 
20:47;08,702296 IP 192.168. 


160.51413 > 192.168.10.154.42871: 
10.159.58868 > 192.168.2.254.443: 
2.254.443 > 192. 168. 19. 159. 59068: 
19.159. 59965 > 192. 168. 2. 254. 443: 
2.254.443 > 192. 158. 19. 159. 59065: 
2.254.443 > 192. 188. 19. 159. 5965: 
2.254.443 > 192. 168. 19. 159. 59065: 
19.159. 599565 > 192. 158. 2. 254. 443: 
2. 254. 443 > 192. 158. 19. 159. 50056: 
19.159. 59966 > 192. 168. 2. 254. 443: 
2.254.443 » 192. 168. 19. 159. 59866: 
18.159. 59958 > 192. 158. 2. 254. 443: 
2.254.443 > 192. 168.19. 159. 9058: 


20:47: 8. 7902322 ІР 192. 168. 19. 159. 50969 > 192. 168. 2. 254. 443: 
20:47: 8. 792343 IP 192. 168. 2. 254. 443 > 192. 158. 19. 159. 50068: 


Αφού σταματήσουμε τη διαδικασία της καταγραφής µε κλικ στο κουμπί Stop, 
κάνουμε κι άλλο ένα στο Download Capture. Κατεβάζουμε έτσι то αρχείο 
ονόματι packetcapture.cap, µε όλα τα δικτυακά πακέτα που κατεγράφησαν 
μόλις. Έχετε υπόψη ότι av το μέγεθος του αρχείου είναι µεγάλο, ίσως 
χρειαστεί να περιμένετε λίγο έως ότου o web browser αρχίσει και πάλι v' 
αποκρίνεται. Αν δείτε ότι αργεί να επανέλθει απλά κάντε ένα refresh στη 
σελίδα και µετά πατήστε ξανά στο Download Capture. 


Ανάλυση µε το Wireshark 


Δουλεύουμε σε περιβάλλον Windows 10 και µε την εκδοχή 64bit της πλέον πρό- 
σφατης έκδοσης rou Wireshark (2.0.0). Αφού τρέξουµε την εφαρµογή δίνουμε File > 
Open, µεταβαίνουµε στο φάκελο όπου βρίσκεται το αρχείο packetcapture.cap που 
πήραμε апо ro pfSense, το επιλέγουμε και T' ανοίγουμε. Στο δικό µας παράδειγμα, 
TAELVOUWVTAC ως προς το πρωτόκολλο (βλ. στήλη Protocol) είναι εύκολο va διαπι- 
OTWOOULE ότι γίνεται χρήση rou BitTorrent. Αυτό όµως από μόνο του беу αποτελεί 
απόδειξη για κατάχρηση. 
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M packetcapture.cap = в x 
Не Edt Мен Go Capture Analyze Statistics Telephony Wireless Tools Help 


BBbaaag 


ο EJ -epes + 
Desinaton Protect Length Info ЕЗ 
6.035373 sbpriS.colder.xyz 192.168.10.255 BROUSER 216 Get Backup List Request 
2.236156 192.168.10.169 k BROWSER 270 Local Master Announcement WIN7UWM, Workstati. 
2.110235 mbpri5.colder.xyz BROWSER 216 Get Backup List Request 

110348 mbpriS.colder.xyr BROWSER 216 Get Backup List Request 


54.106470 HP450069. colder .xyz BROWSER 243 Host Announcement HP3C449245006A, Workstatio. 


122 Handshake 


ipservice-092-212-07-149.052.212.pools 
Ірзегуісе-692-212-007-149.092.212.роо15. 
Spservice-e92-212-007-149.052.212. pools. vodafone-ip. 
ipservíce-092-212-007-149.092.212.pools .vodafone-1p.d 
paul.noestrium.fr 
ni7end9-far-ai3.ias,bredband.telia.com 
ipservice-@92-212-007-149.092.212.pools.vodafone-ip.d 
ka-g.pasoft.net 


Е ite n0116 ba. 
495 Extended Bitfield, Len:@x116 Port 
54 Interested Unchoke 
53 Have, Piece (Idx:@xdc) 
122 Handshake 
122 Handshake 
126 Have, Piece (10х:0х308) Have, Piece (Idx:@x. 
122 Handshake 


lion.mk-sys.cr 122 Handshake 
«772430 Ton 192.168.19.160 122 Handshake 
773960 192.168.19.160 lion.mk-sys.cr 495 Extended Bitfield, Len:@x116 Port 
-939974 192.168.10.160 85. 66.126.122 122 Handshake 
dpservice-092-212-007-149.052.212. pools .vodafone-ip.d 153 Have, Piece (Idx:Gx2f6) Have, Piece (Idx:Ox. 
localhost 134 Handshake 
host107-65-dynanic.46-79-r.retail.telecomitalia.it 134 Handshake 
192.168.10.154 134 Handshake 
5x167x76x204. dynamic. yola.ertelecom.ru 134 Handshake 
190436 10:53:50.949693 192.168.10.154 host197-65-dynanic.A6-79-r.retail.telecositalia.it 292 Extended Continuation data 0 
[У Frame 36288: 447 bytes on wire (3576 bits), 447 bytes captured (3576 bits) ^ 


Encapsulation type: Ethernet (1) 
Arrival Time: Dec 10, 2015 10:53:05.178732000 GTB Standard Time 
[Time shift for this packet: 0.000000000 seconds] 

Epoch Time: 1449737585.178732000 seconds 

[Time delta from previous captured frame: 0.000093000 seconds] 
[Time delta from previous displayed frame: 0.800093000 seconds] 
[Time since reference or first frame: 26.867839000 seconds] 


84 Se 60 e5 ab 95 02 64 аб 9d 33 00 08 00 45 38 
er b1 7f el 40 00 31 06 98 7c Sc 44 07 95 cO aS 
Ὁ b3 ba cO 64 bd е2 1с 34 eb 1с 95 bb 50 18 
ed 06 00 00 13 42 69 74 54 6f 72 72 65 δε 
79 72 6f 74 6f 63 6f 6c 99 00 00 00 00 19 
«9 81 cl eb 38 Od ба 55 b8 c2 a9 62 οὔ b6 

бе ei di 24 4d 4c 33 


22888288 


14 
29 
в 
fd 
а 
n 
74 


96 
5f 64 65 74 61 64 
17 ataileee 


Πα у αποκτήσουμε µια πολύ καλύτερη εικόνα όσον αφορά στα πρωτόκολλα που 
ἐπαιζαν στο τοπικό µας δίκτυο κατά τη διάρκεια του capture, απὀ το μενού του 
Wireshark επιλέγουμε Statistics > Protocol Hierarchy. Αναλόγως του μεγέθους που 
έχει то capture file (бос χρειαστεί va περιμένουμε λίγο, τελικά όµως θα εμφανιστεί 
το παράθυρο ονόματι Protocol Hierarchy Statistics. > αυτό παρατηρούμε OTL та πα- 
κέτα του capture file, σε ποσοστό 92,7% είναι του πρωτοκόλλου μεταφοράς TCP. Από 
αυτά, το 53,5% αφορούν στο πρωτόκολλο εφαρμογής BitTorrent κι όλα µαζίαντιστοι- 
χούν στο 87,4% των διακινούμενων bytes. O бе ρυθµός διακίνησής τους ήταν пері 
τα 9,3Mbps, τη στιγμή που η πραγματική ταχύτητα σύνδεσης του δικτύου µας με TOV 
έξω κόσµο εἰναι κοντά στα 11Mbps. Νομίζουμε πως θα συμφωνήσετε κι εσείς ότι 


aaam 


SAS [5 


сы De 
, A Wireshark protocol Hierarchy Statistics packetcapture = Ἐν. ж 8 
Protocol Percent Packets | Packets Percent Bytes de, Dis/s | EndPackes — EndDytes | EndBis/s gehen 
[~ Fame 1146555. 1000 1029404793 10 M 
` Ethernet 1146555 1000 1029404793 10 M — 


Address Resolution Protocol 50 02 3132 2 
V. Internet Protocol Version 4 148184 1000 1029332460 10M 


| [Piece (сек. 


Port 


Piece (Idx:@x. 


SMB (Server Message Block Protocol) 
7 Secure Sockets Layer 
Secure Sockets Layer 


(rue shife fel © Sinec HI Pretocol. 


Epoch Time: 1444 
[Time delta frof 
[Time delta frod 
(тіле since refi 


User Datagram Protocol 
? Internet Protocol Version 6 
Ted item. 


ba ce 
os oe 

72 6f 7ὰ 6f 63 EF sc 00 00 98 98 00 16 
81 «1 eb 38 0d ба 55 b8 c2 a9 62 a5 be 
бе ei 45 2444 4c 33 2e 31 2e 33 24 сі 
15 86 8b fc бз Sb eb 09 00 00 1a 14 00 
6d 64 31 31 За 75 74 Sf 6d 65 74 61 64 
69 31 65 65 65 es ee 01 1705 ff ff ff 


|| Packets: 1146555 -Degio 
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Πα να έχουµε στο κεντρικό πλαίσιο του Wireshark µόνο τα BitTorrent packets, στη 
θυρίδα Expression (στο πάνω µέρος της εφαρμογής) πληκτρολογούµε "bittorrent" 
(χωρίς τα εισαγωγικά) και πατάμε To [Enter]. Θέλουμε τώρα va βρούμε ποια unya- 
νήματα του τοπικού δικτύου, που στο παράδειγμά µας έχουν διευθύνσεις ΙΡ της 
μορφής 192.168.10.*, εμπλέκονται σε όλο αυτό το torrenting. Προς τούτο επιλέγου- 
με Statistics > Endpoints, στο νέο παράθυρο που εμφανίζεται, µε буора Wireshark 
- Endpoints - packetcapture, κάνουμε κλικ στην καρτέλα PVA, µετά τσεκάρουµε και 
το κουτάκι Limit to display filter. Αμέσως βλέπουμε ότι та μηχανήματα апо τα οποία 
γίνεται το downloading µέσω BitTorrent είναι τα 192.168.10.154 και 192.168.10.160. 


“ 
“ποσο ΠΕΡ ςΦΣΞΕΤΦΕΞ 8 ἃ Ἡ 
(M [bittorrent [x] =) Expresson. + 
No. Tre Source Length Info ^ 
34947 10:53:04.182633 192.168.10.160 992-212-007-149.092.212.pco]s.vodafone-ip.— 122 Handshake 
36288 19:53:05.178732  ipservice-092-212-007-149.092.212.pools.vodafone-— 19.169 447 Handshake Extended Bitfield, Len:@x116 . 
36291 10:53:05.180509 192.168.10.160 /e-092-212-007-149.092.212. pools. vodafon 495 Extended Bitfield, Len:@x116 Port 
37636 10:53:06.101870 152.169. 10. 16 е-092-212-007-149.092.212.рсо1=.мо 64 Interested Unchoke 
38946 10:53:07.152153 192.168.10.160 
42960 10:53:19.149820 192.168.10.169 ——— ο EL 
46363 10:53:12.645342 192.168.10.160 
58160 10:53:21.199928 192.168.10.160 Ehemt-2 Pra. 2 Tes ЦР 
69405 10:53:29.525194 192.168.10.160 Address Packets Bytes PacketsA~B BytesA—B PacketsB—A BytesB—A Latitude Longitude 
192.168.10.160 — = 3 πο 1 12 ñ 617 
. 19216810160 1 622 мк зя ЕТ E a 
5 192.168.10.154 » 5475 2 4067 E 74% 
192.168.10.160 4 55 1 134 3 p 
192.168.10.160 12 ° 0 1 12 - 
А 192.168.18.154 4097 2 ng 2 616 - 
37624 10:53:49.002703  192.168.10.154 14 ° 0 i ΓΝ | 
99607 10:53:50.387033 — host107-65-dynamic.46-79-r.retail.tel ж 0 0 2 ж 
100172 10:53:50.772950 102. 16. 10. 184 PE 7 E м 2967 - 
100436 10:53:50.949693 192.168.10.154 3 79 1 12 2 617- 
110454 10:53:57.568815 5x167x76x204. dynami ertelecon. 14 ° 0 1 " 
111870 18:53:58.460775  192.168.10.154 14 e 0 1 * — 
112093 10:53:58.584547 5x167x76x204. dynamic. yola.ertelecom. 24 ° в 2 24. 
112961 10:53:59.202375 192.168.19.169 134 ° в 1 ы L 
116195 10:54:01.464945 192.168.10.154 12 ° 0 ' 122 Е 
V Frame 97624: 134 bytes on wire (1072 bits), 134 bytes captured (1072 1% 3 402 4 6и - ^ 
Encapsulation type: Ethernet (1) 122 ° в 1 12 
Arrival Time: Dec 10, 2015 10:53:49.002703000 GTB Standard Time 134 ° в 1 E 
is 9.000000000 seconds] 122 ° в 1 12 
703000 576 339k т 316k 304 2k 
: 0.001021000 seconds] 7 122 0 0 1 12 
ious displayed frame: 5.345281000 seconds] | |117-108-106-27.mysiplcom ° ° 1 
[Time since reference or first frame: 70.69181000@ seconds] 14186.3841 ° 0 1 
02 64 a6 9d 33 00 a4 зе 5 2 5 š 
99 78 e3 εὖ 40 00 40 06 
41 6b 88 9d la el a4 73 vodafonsdeLit 
01 c9 ef BF 00 00 01 01 м 
46 f5 13 42 69 74 54 6f | 
6f 74 6f 63 6f 6c 99 00 μασ ο) 
bi 49 45 3a 50 el 4f 60 b7 99 26 a3 91 89 Ge Y 
ab 6f 24 54 52 32 38 34 30 26 68 65 34 74 39 39 — .o-TR2B4 0-hed 
ба 34 36 34 35 6f 546450 


Q 7 _sittorrent: Protocol 


Στρατηγική αντιμετώπισης 


Υπάρχουν πολλά που µπορεί να κάνει ο διαχειριστής ενός δικτύου, προκειµένου να 
εμποδίσει τους bandwidth hogs апо ro va προκαλέσουν ξανά προβλήματα στο μέλ- 
λον. Μια πρώτη σκέψη είναι να τους απαγορεύεται η πρόσβαση στο Internet, έστω 
για συγκεκριµένα χρονικά διαστήματα µέσα ото 24W PO. Θα συμφωνήσετε κι εσείς, 
φανταζόμαστε, ότι πρόκειται για δρακόντειο μέτρο. Ούτε στο χειρότερο εχθρό µας, 
éva πράγμα. Μια ηπιότερη λύση, η οποία φαίνεται να χει καλές πιθανότητες va vou- 
θετήσει τους bandwidth hogs επιτρέποντάς τους ταυτόχρονα την πρόσβαση στο 
Internet, θα ήταν ο περιορισμός του διαθέσιµου bandwidth για εκείνους και µόνο — 
είτε επί μονίμου βάσεως είτε για συγκεκριµένα διαστήματα µέσα στο 24ωρο. 


Είμαστε υπέρ αυτής της δεύτερης προσέγγισης και στο υπόλοιπο του παρόντος 
S VOS πως υλοποιείται η σχετική πολιτική. Συγκεκριµένα: 


* βάζουμε όλους τους bandwidth hogs στην ἰδια λίστα 


* ορίζουµε ένα χρονικό διάστηµα µέσα στο 24ωρο για тіс καθημερινές (όχι για 
τα σαββατοκύριακα), κατά το οποίο η κατάχρηση rou bandwidth πρέπει va ano- 
τρέπεται 
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* θέτουµε φίλτρα үа rov περιορισμό rou download, αλλά και rou upload rate 


* προσθέτουμε έναν νέο κανόνα oro firewall (ὥστε ra προαναφερθέντα φίλτρα 
να ισχύουν *uóvo* για τους bandwidth hogs και “μόνο” για ro ορισθέν χρονικό 
διάστηµα ката тіс καθημερινές 


Όλα τα προηγούμενα υλοποιούνται µέσα апо ro web panel του pfSense και σε πολύ 
λίγο θα παραθέσουµε όλες τις λεπτομέρειες. Πριν όµως ξεκινήσουμε, να κάνουμε 
και µια απαραίτητη σημείωση. Στο πλαίσιοτου παραδείγματός µας οι bandwidth hogs 
είναι ra μηχανήματα ue διευθύνσεις ІР 19216810154 και 192.168.10.160. Αν αυτά беу 
έχουν static ІР configuration, τότε οι διευθύνσεις ΙΡ κάποια στιγµή είναι πολύ πιθα- 
vÓ у αλλάξουν κι ως αποτέλεσµα οι περιορισμοί που θα έχουµε θέσει θα πάψουν 
να ισχύουν ή, ακόµα χειρότερα, θα ισχύουν για τα λάθος μηχανήματα. Ένας τρόπος 
για у αποφύγουμε το πρόβλημα εἰναι να ρυθµίσουµε τον DHCP server rou pfSense, 
ώστε να δίνει πάντατις ίδιες διευθύνσεις στους bandwidth hogs. Οι αποδόσεις των 
διευθύνσεων θα γίνονται βάσει MAC addresses και θα βρίσκονται εκτός του διαστή- 
ματος διευθύνσεων που μοιράζει αυτόματα о DHCP server. Το πώς πετυχαίνουμε 
κάτι τέτοιο το έχουµε δείξει αρκετές φορές στο παρελθόν (hint: ξεκινήστε από TO 
Status > DHCP Leases). Με βάση τις αναθέσεις διευθύνσεων που εμείς κάναμε, οι 
δύο bandwidth hogs για Tn συνέχεια θα εἰναι οι 192.168.10.90 και 192.168.10.91. 


/ W pfsense.colderxyz - Servic X к 
€ > С Ekh#pš://pfsense/services_dhcp.php?if=opt2 τν E, z 


System Interfaces » Firewall + Services * VPN к Status * Diagnostics „ Gold » Help 


Note: 
The DHCP lease table can be viewed on the Status: DHCP leases page. 


a4:5e:60:e5:ab:95 192.168.10.5 Mai k Pro Retina 15 


f4:09:d8:d4:6d:bd 192.168.10.10 4 Samsung Galaxy Note 4 
00:0c:29:86:57:74 192.168.10.190 
00:0¢:29:8b:e4:7a 192.168.10.191 


52:54:00:90:3e:a9 192.168.10.240 


d0:27:88:6b:f6:3b 192.168.10.245 openSUSE LEAP 


6c:70:9f:d7:ff:4a 192.168.10.250 AirPort Extreme 


8 c f c c 
сесекекее 


pfSense is © 2004 - 2015 by Electric Sheep Fencing LLC. All Rights Reserved. [view license] 


Φροντίσαμε ώστε στους δύο bandwidth hogs του τοπικού µας 
δικτύου να αποδίδονται πάντα οι ίδιες διευθύνσεις IP. Έτσι, οι 
περιορισμοί που σε λίγο θα υλοποιήσουµε θα ισχύουν για τους 
πραγματικούς υπαίτιους της κατάχρησης bandwidth και μόνον 
για εκείνους. 
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Λίστα µε τους bandwidth hogs και ώρες γραφείου 


Θέλουμε μία λίστα µε τις διευθύνσεις ІР των μηχανημάτων апо τα οποία γίνεται 
κατάχρηση rou bandwidth. Φυσικά, o' αυτή τη λίστα θα πρέπει να ἔχουμε το ελεύ- 
θερο για την απομάκρυνση ή/και την προσθήκη διευθύνσεων ΙΡ. Αυτό που χρειαζό- 
μαστε είναι éva νέο alias και για va то ορίσουμε ακολουθούμε τη διαδρομή Firewall 
2 Aliases. 


W pfsense.colderayz - Firew: & 


€ > С bxeps//pfsense/firewall aliases edit. php? tab ip pg E, E 


* System * Interfaces + Firewall * Services + VPN к Status * Diagnostics * Gold + Help 


Firewall: Aliases: Edit 2) 


R Bandwidth_Hogs [5 
The name of the alias may only consist of the characters "а-г, A-Z, 0-9 and _". 


R Guilty of excessive torrenting 


You may enter a description here for your reference (not parsed). 


ммм нн нн нн нын аннан 
τ Enter as many hosts as you would like. Hosts must be specified by their IP address or fully qualified domain name (FQDN). 

: FQDN hostnames are periodically re-resolved and updated. If multiple IPs are returned by a DNS query, all аге used. You may | 
! also enter an IP range such as 192.168.1.1-192.168.1.10 or a small subnet such as 192.168.1.16/28 and a list of individual I 
! addresses will be generated. 1 


192.168.10.190 
192.168.10.191 


тт 


pfSense is © 2004 - 2015 by Electric Sheep Fencing LLC. All Rights Reserved. [view license] 


To alias ονόματι Bandwidth_Hogs, στο οποίο προς ro παρόν έχουμε 
βάλει та IP των δύο μηχανημάτων апо та οποία αποδεδειγμένα γίνεται 
κατάχρηση rou bandwidth. Εννοείται ότι ауа πάσα στιγµή μπορούμε να 

προσθαφαιρούµε IPs στην αντίστοιχη λίστα. 


Στη συνέχεια θα ορίσουμε ένα χρονικό διάστηµα yta TIC καθημερινές, ката ro οποίο 
το bandwidth για όσους εἰναι στη λίστα Bandwidth_Hogs θα εἰναι περιορισμένο. 
Θα δούμε σε λίγο πώς υλοποιείται κάτι τέτοιο. Προς το παρόν, από το μενού του 
pfSense δίνουμε Firewall > Schedules και κάνουμε ένα κλικ στο κουμπάκι [+], κάτω 
δεξιά, ὥστε уа ορίσουμε TO νέο "πρόγραμμα" (schedule) που θέλουμε. 
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£ ge pfsense.colder.xyz Fire e X \ 
> С heps//pfsense/firewall schedule edit. php we Ed z 


к System > Interfaces + Firewall * Services VPN + Status * Diagnostics „ Gold + Help 


Firewall: Schedules: Edit 


ου... % Office. Hours B 
The name of the alias may only consist of the characters a-z, A-Z and 0-9 


Νε Bandwidth usage should be fair for all 


You may enter a description here for your reference (not parsed). 


December 15 Y 


December 2015 


Click individual date ta select that date only. Click the appropriate weekday Header ta select all occurrences af that 
weekday. 


| : .. To νέο schedule ro ονομάσαµε Office Hours кі αφορά 
[zo voe [0 v ме [18 * & |? Y| W στις ώρες από 10 TO πρωί έως 6 το απόγευμα, για 
тіс εργάσιμες ηµέρες (από Δευτέρα έως Παρασκευή) 
κάθε εβδομάδας. Σημειώστε ότι µε κλικ ото όνοµα 
Time Range Description [Rs Everyone is working happily της ημέρας (κορυφή στήλης), επιλέγονται όλες οι 
You may enter a description here for your referen αντίστοιχες μέρες του μήνα. Επίσης, παίζοντας λίγο με 
| Add Time | | Clear Selection | To drop-down μενού ονόματι Month παρατηρούμε ότι 
έχουν επιλεγεί οι αντίστοιχες μέρες κάθε μήνα. Па va 
συμπεριληφθεί στο schedule µας Το χρονικό διάστηµα 
που ορίζουμε στην περιοχή Time, αρκεί ένα κλικ στο 
κουμπάκι Add Time. 


Select the time range for the day(s) selected on th 


/ E pfsense.colder.xyz - Firew: X N 
> Q | & beps://pfsense/firewall_schedule_edit.php pi E, z 


> System + Interfaces „ Firewall * Services — » VPN y Status + Diagnostics * Gold F Help 


Select the time range for the day(s) selected on the Month(s) above, A full day is 0:00-23:59, 


Time Range Description 


You may enter a description here for your reference (not parsed). 


Add Time Clear Selection 


Configured Ranges Stoj 
Day(s) Start Time ai Description 


Mon - Fri 10:00 18:00 Everyone is working happily 


|. Μόλις προσθέσαμε ένα χρονικό διάστηµα στο schedule 
pfSense is © 2004 - 2015 by Electric Sheep Fencir; с f H Хр nu 


μας. Θα μπορούσαμε να έχουµε περισσότερα ano 
ἕνα διαστήματα, T.X., προκειµένου va ορίσουµε δύο 
εργάσιµα διαστήματα µέσα στη μέρα, µε éva ηµίωρο 
διάλειμμα ανάμεσά τους. 
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Q9 pfsense.colder.xyz - Firew- X 


€ Э С & beps://pfsense/firewall_schedule.php WwW EL z 
QQ + System + Interfaces * Firewall * Services + VPN > Status * Diagnostics „ Gold к Help 


Firewall: Schedules 


| Time Range(s) Description p 
г Office Hours | Mon-Fri 200-1800 Everyone is werking Һау Eee ТІРІСІ! ER 


Note: 
Schedules act as placeholders for time ranges to be used in Firewall Rules. 


Limiters για upload και download 


Επόμενη κίνησή µας εἰναι να ορίσουμε δύο limiters ñ φίλτρα, ένα για την ταχύτητα 
download κι άλλο ένα για την ταχύτητα upload. Αυτά τα φίλτρα θα εφαρμόζονται 
amo κατάλληλο κανόνα Tou firewall στους υπολογιστές του alias ονόματι Bandwidth_ 
Hosts. Па rov ορισμό ενός limiter ακολουθούμε τη διαδρομή Firewall > Traffic Shaper 
> Limiter και κάνουμε ένα κλικ στον σύνδεσμο "[+] Create new limiter". Δείτε τα 
screenshots που ακολουθούν και βεβαίως διαβάστε τις αντίστοιχες περιγραφές. 


M pfsense.colderxyz - Firew: X 


€ Q | & beps://pfsense/firewall_shaper_vinterface.php?pipe=LimitDown&queue=LimitDown&action=show X Е, = 


> VPN 


> Interfaces > Firewall > Services Status + Diagnostics * Gold > Help 


» System 


Firewall: Traffic Shaper: Limiter 
pem ..- f 
Enable — '*' Enable limiter and its children 


If source or destination slots is chosen, a dynamic pipe with the 
bandwidth, delay, packet loss and queue size given above will be 
created for each source/destination IP address encountered, 

CE This makes it possible to easily specify bandwidth limits 


Mask 
255.255. euet, R IPV4 mask bits (1-32) 


ἩΓΕΕΚΗΕΦΕΗ ΜΕ ΚΗΕΦΉΗΕΙ Ν IPV6 mask bits (1-128) 
If ‘source’ or ‘destination’ slots is chosen, leaving the mask bits blank 
will create one pipe per host. Otherwise specify the number of ‘one’ bits 
in the subnet mask used to group multiple hosts per pipe. 


ты `. Limit download bandwidth to 2Mbps 


You may enter a description here for your reference (not parsed). 


| Show advanced options | 


Queue Actions 5 
N 
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V W pfsense.colderxyz - Firew- X X 


€ > С Ebsps//pfsense/firewall shaper vinterface.php pii E z 


* System * Interfaces * Firewall * Services + VPN к Status к Diagnostics * Gold * Help 
Firewall: Traffic Shaper: Limiter 


By Interface | By Queue Т Layer? | wizards | 


Welcome to the pfSense Traffic Shaper. 
The tree on the left helps you navigate through the queues 
buttons at the bottom represent queue actions and are activated accordingly. 


E Create new limiter 


k 


` 


J W pfsense.colderxyz - Firew- X X 


€ > С beips//pfsense/firewall shaper vinterface.php?pipe-LimitUp&queue- LimitUp&action-show 97 E, 


* System к Interfaces * Firewall к Services * VPN к Status „ Diagnostics + Gold * Help 


Firewall: Traffic Shaper: Limiter 
σσ ..... ED 


[lumapown Enable e Enable limiter and its children 


E Create new limiter 


restricted. 
| Source addresses ` 
If'source' or 'destination' slots is chosen, a dynamic pipe with the 
bandwidth, delay, packet loss and queue size given above will be 
created for each source/destination IP address encountered, 
respectively. This makes it possible to easily specify bandwidth limits 
per host. 
255.255.255.255/ Y IPV4 mask bits (1-32) 
FEFEFE EEEE EEEE EEEE EEEE ES IPV6 mask bits (1-128) 
If source or ‘destination’ slots is chosen, leaving the mask bits blank 
will create one pipe per host. Otherwise specify the number of 'one' bits 
in the subnet mask used to group multiple hosts per pipe. 

cc Limit upload bandwidth to 256Kbps 
You may enter a description here for your reference (not parsed). 


Стена Mesos νι | Add new queue | Delete this queue 
Ñ 


pfSense is © 2004 - 2015 by Electric Sheep Fencing LLC. All Rights Reserved. [view license] 
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Q9 pfsense.colder.xyz - Firew: X V 
€ > С  Ebhbtep//pfsense/firewall shaper vinterface.php P m = 


к System * Interfaces » Firewall * Services к VPN к Status к Diagnostics * Gold * Help 


Firewall: Traffic Shaper: Limiter 
p= | Queue ο... ση 


Welcome to the pfSense Traffic Shaper. 
The tree on the left helps you navigate through the queues 
buttons at the bottom represent queue actions and are activated accordingly. 


ο Create new limiter 


pfSense is @ 2004 - 2015 by Electric Sheep Fen 


Περιοριστικός κανόνας στο firewall 
Ως εδω έχουµε ολοκληρώσει µε επιτυχία τις ακόλουθες εργασίες: 


“ εντοπίσαµε τις διευθύνσεις IP των μηχανημάτων του τοπικού δικτύου, апо TQ 
οποία γίνεται κατάχρηση του bandwidth 


* φροντίσαμε ώστε τα εν λόγω μηχανήματα (bandwidth hogs) να παίρνουν πά- 
үтоте тіс ίδιες διευθύνσεις ІР, από τον DHCP server του pfSense 


* φτιάξαμε ένα alias µε τις διευθύσεις IP των bandwidth hogs 


* περιγράψαµε ένα πρόγραµµα (schedule), κατά το οποίο ορίζονται οι εργάσιμες 
ώρες μέσα OTIC καθημερινές μέρες κάθε μήνα 


* δημιουργήσαμε δύο φίλτρα (limiters), ένα για ro download κι éva για ro upload. 


Μένει τώρα να ορίσουμε έναν νέο κανόνα στο firewall του pfSense ο οποίος θα ouv- 
δυάζει *ÓAa* τα προηγούμενα, ώστε οι bandwidth hogs να περιορίζονται κατά τη 
διάρκεια των εργάσιµων ηµερών και ωρών. Δείτε ra screenshots που ακολουθούν. 
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— B = o x 


/ Ф 8 "mm x N 
€ > С & beps://pfsense/firewall_rules.php?if=opt2 hd Е, ш 


System Interfaces Firewall Services + VPN + Status * Diagnostics к Gold * Help 


Firewall: Rules 


| Floating | wan | tan | орта |22) 


Always reach 
those hosts via 
WAN 


E a 


VPNed hosts OVPNDEFIANT_VPNV4 Those hosts 
always go out 
through the 
tunnel 


Allow OPT2 to any 
(Ма WAN) 


ысы 


есес ес есе 


f. 


D pass match E block reject @ xs 
12 pass (disabled) ©) match (disabled) L3 block (disabled) reject (disabled) © lag (disabled) 


TUS 


Ξεκινάμε επιλέγοντας Firewall ^ Rules. О κανόνας που θα npoo8Écouye θα αφορά στο network interface που βλέπουν 
τα μηχανήματα του τοπικού δικτύου. Το interface αυτό εξ ορισμού είναι το LAN - αλλά όχι απαραίτητα. Па Το δικό 

μας δίκτυο, π.χ., то εν λόγω interface είναι то OPT2 (κι αποτελεί bridge των LAN, OPT1). Μεταβαίνουµε, λοιπόν, στην 
καρτέλα του network interface που µας ενδιαφέρει. O περιοριστικός κανόνας που πρόκειται να ορίσουµε επιθυμούμε να 
ελέγχεται πρώτος, ώστε οι bandwidth hogs va µην έχουν καμία πιθανότητα να "ξεφύγουν". Ακριβώς γι αυτό κάνουμε ένα 
κλικ στο κουμπάκι [+], πάνω πάνω δεξιά. 


— B = o x 


/ P x, 
€ > С & betps://pfsense/firewall_rules_edit.php?id=4 


+ System Interfaces wF Firewall + Services + VPN > Status + Diagnostics + Gold * Help si Pfs old η = 


Firewall: Rules: Edit 


Action pass τ 


Choose what to do with packets that match the criteria specified below. 

Hint; the difference between block and reject is that with reject, a packet (TCP RST or ICMP port unreachable for UDP) is 
returned to the sender, whereas with block the packet is dropped silently. In either case, the original packet is 
discarded, 


Disabled Disable this rule 
Set this option to disable this rule without removing it from the list. 


Interface | OPT2 τὶ 
Choose which interface packets must be sourced on to match this rule, 


TCP/IP Version IU ¥ | Select the Internet Protocol version this rule applies to 


Protocol [any М 
Choose which ІР protocol this rule should match. 1 , i T 
Hint: in most cases, you should specify ТСР here. 0 ο α θα αφορα σε πακετα ανεξαρτήτως 
— = T mt πρωτοκόλλου (Protocol = апу), που ξεκινούν 
Use this option to invert the sense of the match. απο μηχανήματα апо Τα οποια γινεται 


κατάχρηση bandwidth (Source: Type = Single 


Type: Single host or alias Ж В 2 7 
ролы j host or alias & Address = Bandwidth_Hogs) 


και δεν” προορίζονται για άλλα μηχανήματα 


-; not του τοπικού δικτύου (Destination = not ОРТ2 
Use this option to invert the sense of the match. net). Προφανώς, αν τα πακέτα προορίζονται 
Type: [ OPT2 net τ] για μηχανήματα του τοπικού δικτύου (για εμάς 
— ОРТ? net), τότε δεν επιθυμούμε να εφαρμόζεται 
Log TT о περιοριστικός µας κανόνας. Πηγαίνουµε στη 


Hint: the firewall has limited local log space, Don't turn on lo συνέχεια λίγο πιο κάτω στη σελίδα, όπου εκεί 
consider using a remote syslog server (see the Diagnostics: $ n 5 5 
συνανταµε τις προχωρηµενες ρυθμίσεις. 


Description 8 , Restrain bandwidth hogs during office hours 
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W pfsense.colderayz - Firew: X \ 
€ > С übepsS//pfsense/firewall rules edit.php?id-4 p E, = 


+ System Interfaces * Firewall * Services + VPN к Status * Diagnostics + Gold * Help 


Advanced features 


Source 05 Advanced |- Show advanced option 


Diffserv Code Point | Advanced | - Show advanced option 


Advanced Options Advanced - Show advanced option 


State Type Advanced - Show advanced option 


No XMLRPC Sync Advanced |- Show advanced option 


802.1p — Advanced |- Show advanced option 


Schedule Office Hours v | 


ο κα as none to leave the rule enabled all the time. 


WANGW - 192.168.1.1 "| 


Leave as ‘default’ to use the system routing table. Or choose а gateway to utilize policy based routing. 


Шайыр — |/[LimtDown т | 
Choose the Out queue/Virtual interface only if you have also selected In. 
Тһе Out selection is applied to traffic leaving the interface where the rule is created, In is applied to traffic coming into 


the chosen interface. 
If you are creating a floating rule, if the direction is In then the same rules apply, if the direction is out the selections 
are reverted Out is for incoming and In is for outgoing. 


Ackqueue/Queue Advanced | - Show advanced option 


Layer7 Advanced | - Show advanced option 


Created 12/11/15 23:22:18 by admin@192.168.10.131 


Updated 12/12/15 00:07:20 by admin@192.168.10.131 
AX — 
ыз 


О κανόνας θα είναι ενεργός μόνον ката тіс ώρες γραφείου, όλες τις εργάσιµες μέρες της εβδομάδας. 

OS ro, λοιπόν, Schedule = Office Hours. O δε gateway μέσω του οποίου τα πακέτα θα βγαίνουν στο 
Internet δεν χρειάζεται να τεθεί, εκτός αν για τον pfSense router σας υπάρχουν περισσότεροι απὀ 

ένας gateways. Στον δικό µας, π.χ., πέρα απὀ τον τυπικό έχει οριστεί κι ένας για την επικοινωνία µε 
απομακρυσμένο OpenVPN Access Server που έχουµε στο cloud. Δεν επιθυμούμε οι bandwidth hogs уа 
βγαίνουν στο Internet µέσω του απομακρυσμένου server, οπότε θέτουµε Gateway = WANGW (πρόκειται 
για το LAN interface του ADSL modem/router µπροστά απὀ To pfSense box). Δώστε τώρα προσοχή 

στην περιοχή In/Out. Στη θυρίδα του "Іп" (αριστερά) επιλέγουμε το φίλτρο LimitUp. Έτσι, ορυθµός των 
πακέτων που ξεκινούν ano bandwidth hog και εισέρχονται” ото OPT2 (κατεύθυνση "In") θα περιορίζεται 
όπως περιγράφει ο limiter ονόματι LimitUp. Διαφορετικά: To upload rate των bandwidth hogs θα 

είναι то πολύ 256Kbps. Ομοίως εργαζόµαστε για τη θυρίδα του "Out". Σ’ αυτή επιλέγουμε το φίλτρο 
LimitDown κι έτσι о ρυθμός των πακέτων που "εξέρχονται” апо то OPT2 και προορίζονται προς κάποιον 
bandwidth hog περιορίζεται όπως περιγράφει o limiter ονόματι LimitDown. Διαφορετικά: To download 
rate των bandwidth hogs θα είναι то πολύ 2Mbps. Για την επικύρωση του κανόνα κάνουμε ένα κλικ στο 
κουμπί Save. 


77 


/ W pfsense.colderayz Fire X N 
€ > С beps//pfsense/firewall rules.php?if-opt2 


System Interfaces к Firewall * Services + VPN Status * Diagnos 


Firewall: Rules 


| Floating | wan | глн | OPTi 1478) DEFIANTVPN | OpenVPN 


Bandwidth Hogs Restrain 
bandwidth hogs 
during office 
hours 


ыы 


Always reach 
those hosts Ма 
WAN 


VPNed_ hosts OVPNDEFIANT_VPNV4 Those hosts 
always go out 
‘through the 
tunnel 


ыы 


Allow ОРТ2 to 
any (via WAN) 


ыы ыы 


[5 


D pass 
12 pass (disabled) 


Rules are evaluated on a first-match basis (i.e, th 
be executed). This means that if you use block 
ardar. Fuervthina that bend avnliciHy пахай iz 


W pfsense.colderayz - Firew & N 
€ > С betps / /pfsense/ firewall rules.php w? E, = 


* System к Interfaces * Firewall > Services * VPN + Status + Diagnostics + Gold * Help 


Firewall: Rules 


Floating | wan | глн | OPTi OPT2 DEFIANTVPN | OpenVPN 


Bandwidth Hogs D Restrain 

Office Hours Ες hogs 
during office 
hours 


at 


Always reach 
those hosts via 
WAN 

VPHed hosts OVPNDEFIANT VPNV4 Those hosts 
always go out 
through the 
tunnel 


ыы 


Allow OPT2 
any (via WAN 


ыы Ge 


& 


pass g match B Б) reject 
pass (disabled) match (disabled) |. reject (disabled) 


Rules are evaluated on a first-match basis (να, the action of 
be executed), This means that if you use block rules, you'll h, 
order. Fvarvthina that isn't axnlicstlu nacced іс blacked hv dal 
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Περιορισμός rou bandwidth για τους αχόρταγους 


Νέα εμπειρία για τους αχόρταγους 


Μετά την εισαγωγή του νέου µας κανόνα η κατάσταση στο τοπικό δίκτυο πίσω апо 
Tov pfSense router αλλάζει δραματικά - αλλά μόνο κατά τη διάρκεια των διαστηµά- 
των που ορίζονται апо το Office Hours. Κάντε τις δοκιμές σας, δείτε και δύο στιγ- 
μιότυπα των δικών μας. 


——— — 


Ф; ноте ІШ Share 4) Channels Q, Search 
Properties 


“5 Layout 


Priority Time Left 


Details | Files | Trackers | Peers | Pieces | Bandwidth | Event Log | Options | Comments 


σαββατοκύριακο, о περιοριστικὀς µας 

κανόνας είναι απενεργοποιηµένος. 
Βλέπουμε το μηχάνημα ενός bandwidth 

| Downloading 0 Seeding fN: 1239 KB/s _OUT: 152 ка @ DHT: port unconfumed hog, ο οποίος κατεβάζει ένα torrent 

"——————————————!]s εκμεταλλευόμενος σχεδόν όλο ro 

downstream bandwidth της σύνδεσής µας 

προς το Internet. 


J Gs | Йтене | әде | as ο[2 


Stop Remove s Properties SS layout | 


Channel 
à) Channels 


pem 


B/sIN 


Bytes Progress Status B/s OUT M Priority ^ Time Left 


Details | Files | Trackers | Peers. | Pieces | Bandwidth | Event Log | Options | Comments 


0 ібіос bandwidth hog επιχειρεί уа 
κατεβάσει torrent ката тіс ώρες γραφείου, 
τις καθημερινές. O περιοριστικός µας 
κανόνας είναι ενεργοποιηµένος και TO 
μέγιστο download rate για τον φίλο µας 
— —  —— ey υπερβαίνει τα 256MBps, δηλαδή τα 
rr Ebor = 3 2Mbps. Αν τολμήσει уа παραπονεθεί 

στον υπεύθυνο δικτύου, θα έχει ша 
καλή ευκαιρία να ενημερωθεί για τη νέα 
πολιτική ορθής χρήσης. 
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Skill: Intermediate 
Tags: openSUSE, YaST, KVM, virtualization, VirtIO, pools, direct access 


Προσωπικό cloud 
με To openSUSE 


[μέρος 2/2] 


Χάρη oro openSUSE μετατρέψαμε ένα μάλλον αδιάφορο PC σε ένα σύγχρονο 
κι ευέλικτο Workstation. Ως τώρα φανταζόμαστε πως κι εσείς θα έχετε 
εξοικειωθεί κάπως µε то ολοκαίνουργιο σύστημά σας. Προτείνουμε λοιπόν 
να µην καθυστερήσουµε άλλο και va προβούµμε τώρα στις απαραίτητες 
ενέργειες, ώστε να TOU χαρίσουµε ικανότητες virtualization host. Εκτός από 
την εγκατάσταση της απαραίτητης υποδομής, θα δούµε βεβαίως και πώς 
δημιουργούμε και διαχειριζόµαστε εικονικές μηχανές. 


του Χρήστου Βαρελά 


Πριν περάσουμε στο κυρίως θέµα θα θέλαμε να κάνουμε µια σύντομη σημείωση για 
τη δικτύωση του РС. Μετά την εγκατάστασή του, το openSUSE είναι έτσι προρυθµι- 
σµένο ώστε να ζητά διεύθυνση ΙΡ апо τον όποιο διαθέσιμο DHCP server. Αν o name 
Server του τοπικού µας δικτύου είναι στοιχειωδώς ευέλικτος, θα μπορούμε εὐκο- 
λα να φτάνουμε στο PC γνωρίζοντας µόνο το буора rou (hostname) κι αγνοώντας 
εντελώς την αριθμητική διεύθυνση IP. Από τη στιγµή όµως που έχουµε να κάνουμε 
με μηχάνημα σε ρόλο server, беу εἶναι κακή ιδέα va µεριµνήσουμε WOTE Va TOU ATO- 
δίδεται πάντοτε ro (Oto IP. Па να πετύχουμε αυτό το αποτέλεσµα беу χρειάζεται 
-και беу προτείνεται- να επέµβουµεστις παραμέτρους δικτύωσης rou openSUSE: 
Αρκεί va επέµβουµε στις ρυθµίσεις του DHCP server που τρέχει ο router “μπροστά” 
anó ro PC. 


Мета από αλλεπάλληλες συσκέψεις μεταξύ των 
συνεργατών του περιοδικού кі ανυπολόγιστη 
κατανάλωση φαιάς ουσίας, στον ολοκαίνουργιο 
virtualization host της Parabing Creations 
апофасісаше va χαρίσουµε το όνοµα thehost. Ναι, δεν 
πρόκειται για τυπογραφικό: thehost. Ακριβέστερα, 

το πλήρες ὀνομά του είναι thehost.colder.xyz και, 
παρεμπιπτόντως, o DHCP server του router πάντοτε 
του δίνει την αριθμητική διεύθυνση 192.168.10.245. Και 
Τώρα Ξέρετε (ΤΜ). 


Το θέμα είναι να 
έχεις φαντασία! 


sels Ὁ 2004 - 2015 by Electiic Sheep Fencing LLC. AI Rights Reserved. Мен lense 
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Προσωπικό cloud µε ro openSUSE [μέρος 2/2] 


Υποδομή virtualization 


H τεχνολογία virtualization που θα χρησιμοποιεί o server µας είναι αυτή του KVM 
(Kernel-based Virtual Machine, http://www.linux-kvm.org). Από την έκδοση 2.60.20 
TOU Linux kernel και µετά, ο κώδικας του KVM περιλαμβάνεται στον πυρήνα. Υπάρ- 
χει και TO user-space μέρος του KVM, το οποίο συμπεριλαμβάνεται στον πανίσχυρο 
εξοµοιωτή ονόματι QEMU (http://www.qemu.org). Το ΚΨΜ κάνει δυνατή την εκτέλε- 
ση αυτόνομων εικονικών μηχανών, καθεμία από τις οποίες έχει το δικό της εικονι- 
KO hardware (δίσκος, κάρτα δικτύου, κάρτα γραφικών κ.ο.κ.) κι ως guest OS τρέχει 
Linux, Windows ń BSD. Σε σύγκριση εξάλλου µε την τεχνολογία virtualization του Xen, 
то KVM δεν απαιτεί τροποποιημένη εκδοχή του πυρήνα για να λειτουργήσει. Σε us- 
τρήσεις που γίνονται μεταξύ KVM και Xen, οι εικονικές μηχανές του KVM συχνά 
εμφανίζονται ελαφρώς γρηγορότερες απὀ εκείνες του Χεῃ. Είναι επίσης σηµαντικό 
v αναφέρουμε ότι η τεχνολογία του KVM έχει αναδειχθεί στην πλέον δημοφιλή στο 
cloud. To VPS σας, u' ἄλλα λόγια, είναι πιθανό у αποτελεί Eva KVM VM. 


Στο openSUSE µας, ένας τρόπος WOTE va προετοιμαστεί η όλη υποδομή του KVM, μ' 
άλλα λόγια να εγκατασταθούν τα απαραίτητα εργαλεία και Ol βιβλιοθήκες, καθώς 
και να τροποποιηθεί ro υποσύστηµα δικτύωσης rou host OS, εἶναι µε τη βοήθεια 
TOU YaST. Δείτε τα ακόλουθα screenshots και διαβάστε τις αντίστοιχες περιγραφές. 


A 
Search f Network Settings (@Paritioner | Services Manager 


88 Network Services 


L Hardware authentication Client = Hostnames | — ] Май Server 


7 
Еа system 
ЗБ >Ү 

ΤΩ Network Services а NFS аа 6% NIS Client @ NTP Configuration 


Security and Users 


48) Network Services (xinetd) Ὁ Proxy = Remote Administration (VNC) 
- 


ж š 
Y support Ë) Samba Server Е Windows Domain Membership = iSCSI Initiator 


2 Miscellaneous 


Security and Users 


мей x u YaST2 
LE: | AppArmor Configuration Firewall 


Choose Hypervisor(s) to install 
8 Sudo a User and Group Management Server: Minimal system to get a running Hypervisor 


Tools: Configure, manage and monitor virtual machines 

Virtualization ES 
m m 1 

ë Install Hypervisor and Tools ЕЎ Relocation Server Configuration | Xen Hypervisor 


Install Xen or KVM with Management Tools Nan server Xen tools 


Support 


| Hypervisor 
(Bee Notes М КҮМ server М KVM tools 


libvirt LXC containers 


Miscellaneous 


a Snapper ғ system Log 


Cancel || Accept 
vendor Driver CD Ñ 


Μέσα ano To YaST πηγαίνουμε στην κατηγορία Virtualization κι εκεί επιλέγουμε ro Install Hypervizor and Tools. 
Εμφανίζεται τότε ένα νέο παράθυρο. Στην ενότητα KVM Hypervizor τσεκάρουµε та KVM server και KVM tools. Προαιρετικά, 
στην ενότητα irt LXC containers τσεκάρουµε και το libvirt LXC daemon. Τα λεγόμενα LXCs (LinuX Containers, 
https://en.wikipedia.org/wiki/LXC) συγγενεύουν µε τα FreeBSD jails, αποτελούν ша μορφή "ελαφριού" virtualization κι 
επιτρέπουν την εκτέλεση αυτόνομων συστηµάτων Linux κάτω апо τον ібіо Linux host. Па να ξεκινήσει η εγκατάσταση της 
υποδομής virtualization αρκεί ένα κλικ στο κουμπί Accept. 


М libvirt LXC daemon 
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YaST2 - Install Hypervisor and Tools 
Configuring the VM Server (domain 0) 


Verify Installed Packages 


> Network Bridge Configuration 


YaST2 


Network Bridge. 


For normal network configurations hosting virtual 
machines, a network bridge is recommended. 


Configure a default network bridge? 


No 
Downloading: http://download.opensuse.org/-: 


Configuring Default Network Bridge... 


To YaST μάς ζητά άδεια για va δημιουργήσει éva network bridge - και προτείνεται va rou τη δώσουμε. Έτσι, οι 
εικονικές µας μηχανές ба είναι σε θέση να λαμβάνουν διευθύνσεις ΙΡ απευθείας από τον router TOU τοπικού δικτύου 
στον οποίο κατοικεί ο host. 


YaST2 - Install Hypervisor and Tools 
Configuring the VM Server (domain 0) 


Verify Installed Packages 


v Network Bridge Configuration 


YaST2 


KVM components are installed. Your host is ready to install KVM 
guests. 


Libvirt LXC components are installed. 


Downloading: http://download.opei 


8 KiB/s) 


Μετά ano λίγα λεπτά To YaST θα έχει ολοκληρώσει τις εργασίες του και TO µηχάνηµά µας θα έχει μετατραπεί σε 
έναν ικανότατο virtualization host. 


Προσωπικό cloud µε ro openSUSE [μέρος 2/2] 


Γνωριμία µε rov Virtual Machine Manager 


H δηµιουργία και η διαχείριση εικονικών μηχανών είναι δυνατόν να γίνονται από τη 
γραμμή εντολών. Πα όσους όµως τώρα ξεκινούν µε το KVM, µια εφαρµογή για то 
περιβάλλον γραφικών όπως o Virtual Machine Manager είναι σίγουρα προτιμότερη. 
H εν λόγω εφαρµογή εγκαταστάθηκε πριν λίγο, απὀ το YaST. Το όνοµα του εκτε- 
λέσιμου είναι virt-manager και το πληκτρολογούμε είτε στη γραμμή εντολών είτε 
στη θυρίδα αναζήτησης του GNOME desktop. >£ κάθε περίπτωση 8a µας ζητηθεί va 
πληκτρολογήσουμε ro password του χρήστη μας. Φυσικά, το εικονίδιο rou Virtual 
Machine Manager μπορούμε va ro έχουµε στην αριστερή κάθετη μπάρα του GNOME. 


Virtual Machine Manager 


File Edit View Help 
ШЕ. - BR Open 


*Y CPU usage Memory usage 


Ел Dropbox Node 


Running 


Г» | 3| OpenBSD 
Running 


U/KVM localhost - Not Connected 


Χαρούμενα KVM VMs! 


To κεντρικό παράθυρο rou Virtual Machine Manager тпс 
εγκατάστασής µας, στο οποίο φαίνονται δύο ενεργές 
εικονικές μηχανές. 


Παρατηρώντας για πρώτη фора rov Virtual Machine Manager πιθανώς va µας φανεί 
φτωχικός και μάλλον беу θα µας κερδίσει. Ωστόσο η εφαρµογή παρέχει µεγάλη S“ 
κολία αλλά "και ευελιξία. O καλύτερος τρόπος үа va ro διαπιστώσουμε είναι δηµι- 
ουργώντας µια εικονική μηχανή. Στο πλαίσιο του παραδείγματος που ακολουθεί, το 
УМ поо φτιάχνουμε γιαλειτουργικό cüornua (guest OS) έχειτο Ubuntu Server 14.04.3 
LTS 64bit. Πριν ξεκινήσουμε οφείλουμε φυσικά να έχουµε κατεβάσει το αντίστοιχο 
ISO image, еу προκειμένω εκείνο апо ro http://www.ubuntu.com/download/server. 
Δείτε τα screenshots και διαβάστε тіс αντίστοιχες περιγραφές. 
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VHASKER 


GEMU/KVM 


a Dropbox Node 


ЕЁ Runni 


=== = 


GEMU/KVM localhost - Not Connected 


[i] Create a new virtual machine 


Connection: GEMU/KVM 


Choose how you would like to install the operating system 
=) Local install media (ISO image or CDROM) 
Network Install (HTTP, FTP, or NFS) 
Network Boot (PXE) 


Import existing disk image 


~ Architecture options 


Architecture: | χ86.64 = 


Cancel 


Н δηµιουργία µιας νέας εικονικής μηχανής ξεκινά µε κλικ στο σχετικό εικονίδιο, πάνω αριστερά και κάτω από то 
μενού rou Virtual Machine Manager. Ανοίγει τότε ένα νέο παράθυρο, то οποίο ουσιαστικά αποτελεί έναν βήμα- 
προς-βήμα οδηγό. Όπως βλέπετε κι εσείς, όλα ra βήματα είναι μόλις πέντε. Καλό αυτό. Στο πρώτο βήμα οφείλουμε 

να υποδείξουµε το ISO image του λειτουργικού συστήματος που θα έχει η μηχανή. Το έχουµε ήδη κατεβάσει στον 
host, οπότε επιλέγουμε ro Local install media (ISO image or CDROM). Το λειτουργικό μας θα είναι 64bit, επομένως η 
μηχανή πρέπει να έχει την ανάλογη αρχιτεκτονική. Θέτουμε, λοιπόν, Architecture = х86. 64 кі ακολούθως κάνουμε ένα 
κλικ στο κουμπάκι Forward, κάτω δεξιά. 


GEMU/KVM 


Dropbox Node 


T Running 


E localhost - Not Connected 


Γρ] Create a new virtual machine 


Locate your install media 


Use CDROM or DVD 


=) Use ISO image: 


- Browse 


Z Automatically detect operating system based on install media 


OStype: - 


Version: 


Στο δεύτερο βήμα υποδεικνύουµε τη θέση rou ISO image του Ubuntu Server, µε κλικ στο Browse. Όσον 

αφορά στον τύπο του λειτουργικού συστήµατος που θα έχει Το νέο VM, παρατηρήστε ότι έχουµε τσεκάρει TO 
Automatically detect operating system based on install media. Με Tn συγκεκριμένη επιλογή λέμε στον Virtual 
Machine Manager уа προσπαθήσει και να βρει τον τύπο του λειτουργικού αυτόματα, βασιζόμενος στα περιεχόμενα 
του μέσου εγκατάστασης. Ау δεν τα καταφέρει ή τέλος πάντων διαπιστώσουμε ότι δεν έκανε και πολύ καλή 
δουλειά, αποεπιλέγουµε το Automatically detect... κι από та OS type kat Version καθορίζουµε μόνοι µας το 
λειτουργικό. Είναι πιθανό να διαπιστώσουμε ότι δεν παρέχεται ακριβής επιλογή για τον τύπο ή για την έκδοση του 
λειτουργικού που θα έχει то VM µας. Σε µια τέτοια περίπτωση δεν πρέπει va πτοηθούµε κι αρκεί να καθορίσουμε 
τον πιο κοντινό τύπο ή την πιο κοντινή έκδοση. Παράδειγμα: Πα ένα KVM VM µε guest OS ro OpenBSD 5.8 64bit, 
εμείς θέσαµε OS Type = UNIX και Version = OpenBSD 5.6. Όλα πήγαν καλά, περιττό να σημειώσουμε. 
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Προσωπικό cloud ue ro openSUSE [μέρος 2/2] 


Add a New Storage Pool 


pool ] 


Target Path: | /home/cvar/Downloads/Images 


Choose Storage Volume 


7x default Size: 637.09 GiB Free / 53.54 GiB In Use 
Filesystem Directory Location: /home/cvar/Downloads/Images 
7х | Volumes Ф | = | @ 
DragonFly BSD x86_64 4.4.1. RELiso 643.51 MiB iso 
FreeBSD 10.2-RELEASE amd64-bootonly.iso 230.73 MiB iso 
OpenBSD 5.8 64bit.iso 220.17 MiB iso 
openSUSE Leap 42.1 DVD x86. 64.iso 433GB iso 
Ubuntu 15.10 Desktop amd64.iso 11068 iso 
Add a New Storage Pool 
eo Browse Local || Cancel || Choose Volume 


Select the storage pool type you would like to configure. 


Name: images 


3i 


Type: dir: Filesystem Directory 


85 


86 


New VM 


Locate your install media 


Memory (RAM): 


New VM 


Choose Memory and CPU settings 


1024 


+ MiB 


New VM 
Up to 7967 MiB available on the 


CPUs: 2 — + - 
Use CDROM or DVD 8 
М Enable storage for this virtual machine 
2) Use ISO image: Create a disk image on the computer's hard drive. 
150 - + GB 
/home/cvar/Downloads/Images/Ubun | —ͥ Browse. 
637.1 GiB available in the default location 
νή Automatically detect operating system based on install media Cancel Back Forward Y 


OStype: Linux 


Version: 


Ubuntu Trusty Tahr LTS 


Cancel Back Forward 
Choose Storage Volume 
Е Sie: | 637.09 GiB Free / 53.54 GiB In Use 
Location: /var/lib/libvirt/images 
zx Images + [е 
lesystem Directory 
openbsd.img 64.00 GB raw OpenBSD. 
ubuntu. dbxnode.img 32.00 88. raw DbxNode 
° Browse Local | Cancel 
Choose Storage Volume 
N Size: 637.09 GiB Free / 53.54 GiB In Use 
Location: /var/lib/libvirt/images 
Images 
7 olumes + | © 
Filesystem Directory MER e 
openbsd.mg 64.00GB raw OpenBSD. 


ubuntu. dbxnode img 3200GB raw DbxNode 


Browse Local 


Cancel || Choose Ec 


*) Select managed or other existing storage 


Browse. 


Cancel Back Forward 


Add a Storage Volume 


Create a storage unit to be used directly by a virtual machine. 


Name:  trusty-tahr 


Format: - 


Storage Volume Quota 
default's available space: 637.09 GiB 


Max Capacity: 64.0. - + GB 
Allocation: 00 + | GB 
Cancel 


Προσωπικό cloud ue ro openSUSE [μέρος 2/2] 


Av oho NE UE Ready to begin the installation 
Enable storage for this virtual machine Name: Trusty[ahr 9 
Create a disk image оп the computer's hard drive OS: Ubuntu Trusty Tahr LTS 
150|-— | + Бе Install: Local CDROM/ISO 
637.1 GiB available in the default location Memory: 1024 MiB 
| Allocate entire disk now {ў CPUs: 2 


Storage: 64.0 СІВ /var/lib/bvirt/images/trusty-tahr.img 
customize configuration before EN 2 ) 


Network selection 
Bridge brO: Host device ethO ο ” | 


Cancel Back Forward - 
| Cancel | | Back | | E 
Jj 


* Select managed or other existing storage 


Browse... | /var/lib/libvirt/images/trusty -tahr.imc 


TrustyTahr Virtual Machine Σε κάθε εικονική μηχανή 
ӘУ Begin instalation" (8) Cancel installation μάς παρέχεται λεπτομερής 
EEE 1 πρόσβαση στο υλικό поо την 
Ü = Nomes | TrustyTahr απαρτίζει. O Virtual Machine 
5555 Manager παρουσιάζει 
M. ο ο. eee ας 


555 MP ce oeh, [Dema KVMVM for dees bis επιλεγμένης μηχανής σε ένα 


T" Oc aues κάθετο πλαίσιο от” αριστερά 
9 ΠΝ ; : М 
Bl sound: iche 5 (1). Όπως φανερώνει το κουμπί 


SD console eens Add Hardware, Κάτω апд ro εν 
Channel spice 5 ; ; ; 
а bes wen ec xao. λόγω πλαίσιο, είναι δυνατόν να 
= 3 2 i 
y — προσθέτουμε υποσυστήματα, 
USB Redirector 1 ; 5. 
G Use raste Coes te, όπως, π.χ., εικονικούς δίσκους 
EL о ΞΕ ή εικονικές κάρτες Ethernet, 
ακόµη και µετά τη συγκρότηση 
mem mmm mm µιας μηχανῆς. Μπορούμε 
επίσης να επιλέγουμε 
- υποσυστήματα και να та 
αφαιρούμε. Για παράδειγµα, 
[LN w 3 i T 
ένα VM σε ρόλο server μάλλον 
~ ағадан δεν χρειάζεται εικονική κάρτα 
— 


ΕΣ] πως — ήχου. Καθώς εξετάζουμε ra 
uat υποσυστήματα της μηχανής 


GEMM освен -Nat Connected μας -και µε δεδομένο ότι μόλις 

τη φτιάξαμε και δεν έχει guest 

05-, όταν είµαστε έτοιμοι 

πατάμε στο Begin Installation 
(2) και ξεκινά η εγκατάσταση του λειτουργικού συστήµατος (rou Ubuntu Server, στο πλαίσιο του παραδεἰγµατός µας). Αλλά 
ас µην την ξεκινήσουμε αµέσως. Με κλικ πάνω σε κάθε γραμμή του κάθετου πλαισίου αριστερά, στη µεγαλύτερη περιοχή 
στα δεξιά εμφανίζονται όλες οι λεπτομέρειες που αφορούν στη μηχανή ή στο αντίστοιχο υποσύστηµα. Από тп µεριά µας 
έχουμε δυνατότητα για επεμβάσεις και τροποποιήσεις. Με κλικ πάνω στο Overview, για παράδειγµα, μπορούμε να δώσουμε 
έναν χαρακτηριστικό τίτλο (3) καθώς και µια λεπτομερή περιγραφή για τη μηχανή (4). Όταν έχουµε λίγα µόνο VMs τέτοιες 
πληροφορίες δεν φαίνεται va χουν μεγάλη αξία, αυτό όµως αλλάζει καθώς δημιουργούμε νέες μηχανές. Κάθε επέμβαση 
που πραγματοποιούµε την παγιώνουμε µε κλικ στο κουμπί Apply, κάτω δεξιά. 


Boot Options 
Install Ші VirtlO Disk 1 


Controller USB 
Bf con Firmware: | Bios -Ja 


Virtual Machine Manager 
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Ubuntu Server 14.04. 


VHAGKER 


3 LTS Virtual Machine 


E Begin Installation 


- Overview 


ЕСІ Memory 

E Boot Options 
Lj мно Disk 1 

(5) IDE CDROM 1 
ЖЕ? Νις :f9:46:e9 
б Mouse 

ΕΠ Display Spice 
lÍ Sound: ich6 
e» Console 

e» Channel spice 
ЕЕ video VMVGA 
В Controller USB 
voss Redirector 1 
@® USB Redirector 2 


S2 RNG 


Wi Processor 


Add Hardware 


@ Cancel Installation 


CPUs 


Logical host CPUs: 4 


Current allocation: | 2 


Maximum allocation: | 2 


Configuration 


Model: | Nehalem 


L] Copy host CPU configuration 


» Topology 
> Pinning 


Ubuntu Server 14,04,3 


Καθορισμός Tou πλήθους των εικονικών 
επεξεργαστών (1) της μηχανής. Με κλικ στο Copy 
host CPU configuration (2) ο εικονικός επεξεργαστής 
αποκτά τα χαρακτηριστικά του φυσικού επεξεργαστή. 


| Cancel || Apply | 


LTS Virtual Machine 


< Begin Installation 


- Overview 
о Processor 
Me 
ЕЯ Boot Options 
2 VirtlO Disk 1 

©) IDE CDROM 1 
SEP NIC :f9:46:e9 
e Mouse 

ΕΕ Display Spice 
ШҚ Sound: ich6 

@ Console 

ë Channel spice 
ΕΕΙ video VMVGA 
EE Controller USB 
Ф use Redirector 1 
©) USB Redirector 2 


Š RNG 
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Add Hardware 


@ Cancel Installation 


Memory 
Total host memory: 7967 MiB 


Current allocation: | 1024 


Στη μηχανή 


και Ubuntu 


Maximum allocation: | 1024 


emnt ΜΒ 


* ΜΒ 


μας έχουµε δώσει 1GB μνήμης RAM. Αν διαπιστώσουμε ότι 


είναι λιγότερη ή περισσότερη απ’ доп πραγματικά χρειάζεται, ερχόμαστε 
εδώ κι αλλάζουμε την ποσότητα της RAM (η μηχανή πρέπει va είναι 
κλειστή). Την πρώτη φορά που ξεκινήσαμε ένα VM µε 768MB RAM 


Server σε ρόλο Dropbox node, διαπιστώσαμε ὅτι κατά то 


πρώτο population του φακέλου "Dropbox" n μνήμη εξαντλούταν, ενώ 
και το SWAP 
Dropbox τερματιζόταν. Αυξήσαμε τη μνήμη RAM στα 2GB, το πρόβλημα 
εξαφανίστηκε, η ειρήνη επικράτησε και πάλι στον κόσµο µας. 


partition γέμιζε. Το αποτέλεσµα ήταν ότι то service του 


| Cancel || Apply | 
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Ubuntu Server 14.04.3 LTS Virtual Machine 


E A Begin Installation 


@ Cancel Installation 


- Overview 

3 Ргосеѕѕог 

(ЕЗ Memory 

— VirtlO Disk 1 

(5) IDE CDROM 1 
ЖЕ? Νις :f9:46:e9 
e Mouse 

Ен Display 5рісе 
(ЕҚ Sound: iche 
Console 
Channel spice 
ἘΠῚ Video VMVGA 
Е Controller USB 
Ф) USB Redirector 1 
voss Redirector 2 


Эй RNG 


Add Hardware 


Autostart 


_ | Start virtual machine on host boot up — 


Boot device order 
Enable boot menu 


@Virtlo Disk 1 | 


6:e9 Θέλουμε η μηχανή µας να ξεκινά αυτόματα, ката 


την εκκίνηση rou host OS; Αν ναι, απλά τσεκάρουμε 
την επιλογή Start virtual machine on host boot up. 
Σημειώστε εδώ ότι η Κατάσταση μιας οποιασδήποτε 


> Direct kernel boot 


μηχανής (ανενεργή/κλειστή ή ενεργή/ανοικτή) είναι 


άσχετη µε то av o Virtual Machine Manager τρέχει ή 
όχι. Ίσως δεν χρειάζεται καν va το αναφέρουμε, αλλά 
τώρα που TO σκεφτήκαµε το αναφέρουμε ούτως ή 
άλλως: Та KVM VMs λειτουργούν ως υπηρεσίες, ενώ o 
Virtual Machine Manager αποτελεί µια απλή εφαρµογή 
διαχείρισής τους. 


Ubuntu Server 14.04.3 LTS Virtual Machine 


Tar 
Cancel | | 


Apply 


ΩΦ Begin Installation 


іш Overview 
a Processor 
ЮЕ Memory 
a» Boot Options 


Æ νιπιο Disk 1 


©) IDE CDROM 1 


EE Νις :f9:46:e9 
à Mouse 

ЕН Display 5рісе 
sound: ich6 
Console 
Channel spice 
ЕЕ video VMVGA 
B Controller USB 
Ф) USB Redirector 1 
@® USB Redirector 2 


Эй RNG 


Add Hardware 


@ Cancel Installation 


Virtual Disk 

Source path: /Var/ lib /libvirt / images /trusty-tahr. img 
VirtlO Disk 1 
64.00 GiB 


Device type: 
Storage size: 
Readonly: 
Shareable: 


* Advanced options 
Disk bus: 

Serial number: 
Storage format: 


raw V 


> Performance options 


> 10 Tuning 


VirtlO | M | Е 


Н ταχύτερη δυνατή πρόσβαση ото δίσκο 

της μηχανής επιτυγχάνεται µέσω των VirtlO 
drivers (Disk bus = VirtlO), διαφορετικά 
μιλάμε για εξομοίωση οδηγών IDE, SATA 

ή SCSI. Па va δουλέψει η πρόσβαση μέσω 
Virtl0, το guest 05 πρέπει να διαθέτει τους 
ανάλογους οδηγούς. Στις σύγχρονες διανομές 
Linux (µε πυρήνα 3.8 ή νεότερο) καθώς και 
στο FreeBSD από την έκδοση 9.0 και μετά, οι 
εν λόγω οδηγοί είναι παρόντες. Διατίθενται 
εξάλλου και για Windows, µόνο που εκεί 
πρέπει να εγκατασταθούν χειροκίνητα. 


Remove 


Cancel Apply 
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VHAGKER 


Ubuntu Server 14.04.3 LTS Virtual Machine 


< Begin Installation 


- Overview 
3 Processor 
ЕЕ Memory 
59 Boot Options 
2 VirtlO Disk 1 
ЖЕ? Νις :f9:46:e9 
Ò Mouse 

ЕЕ Display Spice 
ΕΚ! Sound: ich6 

è Console 

ò Channel spice 
Video VMVGA 
ΒΗ Controller USB 
@ USB Redirector 1 
Ф) USB Redirector 2 
δ RNG 


Add Hardware 


@ Cancel Installation 


Connect | ~~ 


Device type: IDE CDROM 1 


Virtual Disk 


Source path: - 


Storage size: 
Readonly: 4 


Shareable: т 


* Advanced options 


Disk bus: | IDE 


Από τον εικονικό οδηγό CD του УМ απουσιάζει 
| то ISO image του Ubuntu Server. Το έχουµε 


Serial number: | 


| όµως υποδείξει στον Virtual Machine Manager 
και, όταν θα κάνουμε κλικ στο Begin Installation 


Storage format: | 


Y | (πάνω αριστερά), то ISO image θα προσαρτηθεί 


> Performance options 


> ΙΟ Tuning 


αυτόματα και то VM θα εκκινήσει απ’ αυτό. 
Παρατηρήστε εξάλλου ro Disk bus: για rov 
εικονικό οδηγό CD δεν είναι o VirtlO αλλά o IDE. 


| Remove |] Cancel || Apply | 


Ubuntu Server 14.04.3 LTS Virtual Machine 


E A Begin Installation 


- Overview 

a Processor 

ЕЕ Memory 

E Boot Options 

4 VirtlO Disk 1 
IDE CDROM 1 


e Mouse 

ЕЕ Display Spice 
Е Sound: ich6 

e» Console 

e Channel spice 
ЕЕ Video VMVGA 
EE Controller USB 
@ USB Redirector 1 
Ф) USB Redirector 2 


Š, RNG 


Add Hardware 
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@ Cancel Installation 


Virtual Network Interface 


Network source: | Bridge br0: Host device ethO У. 


Device model: | virtio 


М 


МАС address: | 52:54:00:f9:46:e9 


H μηχανή χρησιμοποιεί bridged networking, γεγονός που 
σημαίνει ότι θα πάρει διεύθυνση IP από τον φυσικό router 
του τοπικού δικτύου. Παρατηρήστε ότι για την πρόσβαση 
στην κάρτα Ethernet rou host έχει επιλεγεί ο οδηγός VirtlO. 
Τη συγκεκριμένη επιλογή την έκανε για εμάς o Virtual 
Machine Manager, µε βάση το guest 05 του УМ. Πα άλλα 
guest OSes, για ra οποία δεν διατίθεται o VirtlO driver, 
εξομοιώνεται κάποιο γνωστό μοντέλο κάρτας Ethernet. 
Παρατηρήστε εξάλλου ότι φαίνεται και η διεύθυνση MAC 
της εικονικής κάρτας δικτύου. Αν θέλουμε μπορούμε апо 
τώρα уа τη δώσουμε στον DHCP server του (φυσικού) router, 
ώστε то VM µας να παίρνει πάντοτε rrjv ἴδια διεύθυνση IP. 


| Remove |] Cancel || Apply | 
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Ubuntu Server 14.04.3 LTS Virtual Machine 


ο, Begin Installation @ Cancel Installation 


Overview Sound Device 


=m 
3 Processor Device model: ісһ6 4 
ЕС! Memory 
$39 Boot Options n , , ; 
32 i j Ένα υποσύστηµα που σίγουρα δεν χρειάζεται 
ШІ ΝΙΠΙΟ Disk 1 στα VMs σε ρόλο server, είναι η карта ήχου. 
(©) IDE CDROM 1 Н απομάκρυνση εικονικού hardware беу ба 
МІС :f9:46:e9 μπορούσε γα γίνεται ευκολότερα, µέσα апд τον 
M Virtual Machine Manager. 
jouse 
ΕΕ Display Spice 


5 


Console 


Channel spice 
Video VMVGA 
Е Controller USB 
Ф USB Redirector 1 
%) USB Redirector 2 
Эй RNG 


ά 


Add Hardware Remove k Cancel Apply 


Ubuntu Server 14.04.3 LTS Virtual Machine 


То VM έχει ενεργοποιηθεί 
και η εγκατάσταση του guest 
OS (Ubuntu Server) προχωρά 
κανονικά. Με κλικ µέσα στο 
παράθυρο της μηχανής, то 
focus πληκτρολογίου και 
ποντικιού μεταφέρεται στο 
guest 05. Па уа επανέλθει 
στο host OS πατάμε та 
πλήκτρα [Ctrl] και [Alt], 
ταυτόχρονα. 


Preparing linux-image-extra-3.19.0-25-generic (amd64) 


Virtual Machine Manager 


File Edit View Help 


OpenBSD 
Running 


Ubuntu Server 14.04.3 LTS 
Running 


QEMU/KVM localhost - Not Connected 
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cvar@thehost:~ 


File Edit View Search Terminal Help 
DM» 
:~> sudo ls -lh /var/lib/libvirt/images 


qemu qemu 64G Dec 21 10:00 openbsd.img 
qemu qemu 64G Dec 21 10:19 trusty tahr.img 
дети дети 326 Dec 21 10:17 ubuntu dbxnode.img 
D» 

cvar@thehost:~> sudo du -sh /var/lib/libvirt/images 

18G /var/lib/libvirt/images 

cvar@thehost: “> 


Από ένα παράθυρο τερματικού ρίχνουμε ша µατιά στον κατάλογο /var/lib/libvirt/images, στον οποίο εξ 
ορισμού κατοικούν οι εικονικοί δίσκοι των VMs. Βλέπουμε τρία αρχεία Kat Τα αντίστοιχα µεγέθη τους. 
Συνολικά, τα αρχεία µέσα στον images θα έπρεπε να έχουν μέγεθος 64164132 = 160 gigabytes. Στην 
πραγματικότητα, όµως, τη στιγµή που ελήφθη ro screenshot καταλάμβαναν μόλις 18GB. Αυτά είναι τα καλά 
των εικονικών δίσκων, που μεγαλώνουν δυναμικά! 


Activities [54] 


Processes | Resources | File Systems 


CPU History. 


base txz 


” Verne l- C 


CPU1 153. cpu2 152% E crüs 18% cera 23.2% 


Memory and Swap History 


Fetching distribution files... 


Overall Progress: 


Memor Swa 
4 "y Sy 
3.2 GIB (40.7%) of 7.8 GIB 76.6 MB (0.9%) of 8.0 GIB 


Network History 


qg nom o bytes/s Sending o bytes/s 
TotalReceved | 244 MB P TotaSent | 5794MB 


Мета την εγκατάσταση rou Ubuntu Server (Trusty Tahr) μάς άνοιξε η όρεξη και είπαμε уа φτιάξουμε ἄλλο 
ένα VM, µε то αγαπημένο µας FreeBSD. Τη στιγµή rou screenshot υπήρχαν τέσσερα VMs ενεργά και, όπως 
βλέπετε кі ano ro System Monitor του GNOME, το host computer δεν ζοριζόταν ιδιαίτερα. 
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Αντιστοίχιση φυσικού δίσκου oe VM 


Μερικές φορές, κι αναλόγως του ρόλου που EXEL µια εικονική μηχανή, είναι χρήσι- 
ро va της δίνουμε αληθινούς (φυσικούς) δίσκους ή διαμερίσματα αληθινών δίσκων. 
Αυτό αποφασίσαμε να κάνουμε για ένα KVM VM µε Ubuntu Server, που χρησιµοποι- 
Oo ως Dropbox node. Τι εννοούμε; Θασας πούμε αµέσως. Διαθέτουμε λογαριασμό 
Dropbox Pro τους ενός terabyte, o οποίος αυτή τη στιγµή έχει γύρω στα 270GB. Όλον 
αυτόν τον όγκο των δεδοµένων беу τον θέλουμε στον SSD rou laptop, χωρητικό- 
τητας 512GB, θέλουμε ωστόσο ένα τοπικό μηχάνημα ro οποίο ανά πάσα στιγµή θα 
ἐχει холах та δεδοµένα που βρίσκονται online, oro Dropbox µας. Στο σχετικό VM θα 
μπορούσαμε να δώσουμε έναν εικονικό δίσκο µε άνω όριο μεγέθους то 1ТВ. Eva 
τέτοιο αρχείο όµως беу θα ήταν και πολύ βολικό, ειδικά αν επρόκειτο va µεταφερ- 
Өкі σε διαφορετικό φυσικό host. Αγοράσαμε, λοιπόν, έναν φυσικό δίσκο rou ТТВ, то 
προσθέσαμε ото host computer και στη συνέχεια rov δώσαμε “απευθείας oro KVM 
VM. Χάρη o' αυτή τη διευθέτηση, στα δεδοµένα του δίσκου EXEL πρόσβαση το VM 
αλλά "και το host computer. Επίσης, µπορεί να έχει πρόσβαση κι οποιοσδήποτε άλ- 
λος host µε Linux — αρκεί va μεταφέρουμε εκεί τον δίσκο. Στο υπόλοιπο του άρθρου 
δείχνουμε πώς αντιστοιχίσαµε ото VM τον φυσικό µας δίσκο. 


Dropbox Node Virtual Machine 


File Virtual Machine View Send Key 
m [5 5 - = 


[ΒΝ overview Virtual Disk 
D Performance Source path: /var/lib/libvirt/images/ubuntu_dbxnode.img 
ӨЗ Processor Device type: VirtlO Disk 1 
| Storage size: 32.00 GiB 
Readonly: | | 
Shareable: | | 


ЕЕ Memory 
|8) Boot Options 


(ШЕ NIC :d8:85:14 Advanced options 

| Ὃ Mouse Disk bus: πιο 
|= Keyboard 
(ЕН Display Spice 
© Seria 1 

Š Channel spice » Performance options 
m= Video VMVGA » IO Tuning 

E controller USB 

f controller PCI 

Controller IDE 

ШҰ controller VirtlO Sent 

1% USB Redirector 1 

|% use Redirector 2 


185 RNG 


Serial number: | 


Storage format: | raw 


Add Hardware 


То VM στο οποίο θα δώσουμε τον φυσικό δίσκο ονομάζεται "Dropbox Node" και, όπως βλέπουμε апо rov Virtual 
Machine Manager, αυτή τη στιγµή είναι κλειστό. Θα παραμείνει έτσι και θα το ξεκινήσουμε αφού προσθέσουμε 
το δίσκο. Από τις ιδιότητες της μηχανής παρατηρούμε ότι то VM προς το παρόν διαθέτει έναν εικονικό δίσκο, 
μεγέθους 32GB. Πρόκειται για то δίσκο εγκατάστασης του λειτουργικού συστήµατος (Ubuntu Server) και φυσικά 
για то δίσκο εκκίνησης της μηχανής. 
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YaST Control Center @ thehost 


Search 


B e 
sees 


12) Network Services 


@ 
|, Security and Users 


5S Virtualization 
(E) support 


22 Miscellaneous 


É System Keyboard Layout 


System 


Ф etcfsysconfig Editor 


(BEB Date and Time 


Е Kernel Settings 


| @ Network Settings 
9 


A 
|Д. Services Manager 


Network Services 


(SS) Printer 


[Em 


(©) Boot Loader 


Fonts 
o 
Ë= Partitioner 


Partition hard disks (including RAID, LVM, and encrypted fite 


& Authentication Client 


Mail Server 


HN 
Ш....... 


G NFS Client 


Στο φυσικό σύστημα µε ro openSUSE τρέχουμε ro YaST κι ενεργοποιούµε ro module 
ονόματι Partitioner (βρίσκεται στην κατηγορία Hardware). 


Expert Partitioner 


System View 


ы [5 thehost 


(S Hard Disks 


sda 
b sdb 


(RAID 


/dev/sdb 698.64 GiB 
dev / dbl 8.00 GiB 
dev / sdb 690.63 GiB 


(8| wDC-WD7500AACS-O 
(> Linux swap 
(> Linux native 


FS Type Label MountPoint Start End 


0 91200 
0 1044 
1044 91200 


volume Management 


ІҢ crypt Files 

Œ Device Mapper 

[- Nrs 

В вњ 

В рњ 

(Ф Unused Devices 
dh Device Graph 
Ў Mount Graph 
D installation Summary 
settings 


log 


Add Partition... | | Edit... || Move... || Resize... || Delete... | 


Στο αριστερό κάθετο πλαίσιο rou Partitioner, µε τίτλο System View, avanTUoooupe то δέντρο δίνοντας 
thehost > Hard Disks (ro δικὀ σας σύστημα πιθανώς θα έχει διαφορετικό hostname). Παρατηρούμε ότι 

Το Linux έχει εντοπίσει кі ονομάσει δύο σκληρούς δίσκους, τον sda και rov sdb. Δείτε και то μεγαλύτερο 
πλαίσιο, µε όνομα Hard Disks, στα δεξιά. Στο παράδειγμά µας ο δίσκος sdb έχει δύο διαμερίσματα. (partitions): 
то sdb1 (τύπου Swap) και Το sdb2 (τύπου BtrFS). Προφανώς, ο δίσκος sdb είναι εκείνος στον οποίο έχει 
εγκατασταθεί ro openSUSE µας. O δε δίσκος sda στερείται διαμερισμάτων κι έχει μέγεθος κοντά ото ITB. 
Αυτός ακριβώς εἰναι ο νέος µας δίσκος, τον οποίο θέλουµε να δώσουμε στο VM µε το Ubuntu Server (δηλα 
στο Dropbox Node). Το device name της συσκευής, σύµφωνα µε το openSUSE, είναι το /dev/sda. Το θέµα 
εδώ είναι ότι TO συγκεκριµένο όνομα παράγεται δυναμικά κι ενδέχεται v' αλλάξει, π.χ. αν βάλουμε το δίσκο 
σε διαφορετικό port πάνω στη μητρική rou PC ή τον μεταφέρουμε σε ἄλλο PC. То VM µας, λοιπόν, δεν είναι 
έξυπνο v' αναφέρεται στον φυσικό δίσκο µε βάση το δυναμικό Tou ὀνομα. Ευτυχώς, κάθε κατασκευαστής 
αντιστοιχίζει στους δίσκους κάποια ονόματα που μένουν αναλλοίωτα και δεν εξαρτώνται апо то port στο 
οποίο συνδέεται η συσκευή, ούτε апо το εκάστοτε λειτουργικό σύστημα. 
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Expert Partitioner 


System View (2 нага Disk: /dev/sda 


re 125 
Y ША thehost | Overview Partitions 
v [5 Hard Disks 


1 . 


b sdb * Device: /dev/sda 
ГЕ RAID 1 
L ° Size: 931.51 GiB 
volume Management * Device Path: pci-0000:00:1f.2-ata-1.0 
(AY Crypt Files * Device ID 1: ata-WDC_WD1OEZEX-OOWN4A0_WD-WMC6YOF9W2X6 
tel) Device Mapper Device ID 2: sesi-OATA_WDC_WD10EZEX-OOW_WD-WMC6YOF9W2X6 
В nrs Device ID 3: scsi-LATA_WDC_WD10EZEX-OOWN4A0_WD-WMC6YOF9W2X6 
Б Btrfs Device ID 4: scsi-350014ee0041a2cf9 
Device ID 5: scsi-SATA-WDC_WD10EZEX-00W_WD-WMC6YOF9W2X6 


ἘΞ τρίς Device ID 6: scsi-SATA. WDC. WD1OEZEX-00. WD-WMC6YOF9W2X6 
EË Unused Devices 


dh Device Graph Hard Disk: 


δν Mount crap * Vendor: WDC 

(5 Installation Summary * Model: WD10EZEX-00W 

Sb Settings * Number of Cylinders: 121601 
© tog * Cylinder Size: 7.84 MiB 

* Bus: SATA 

* Sector Size: 512 B 

* Disk Label: MSDOS 


Health Test (SMART)... | | Properties (hdparm)... | 


Па va δούµε ra στατικά ονόματα του δίσκου µας, στο πλαίσιο System View rou Partitioner κάνουμε απλά ένα 
κλικ στο όνοµα της συσκευής ката Linux (sda). Αμέσως, στο πλαίσιο δεξιά εμφανίζονται πληροφορίες που 
αφορούν στο δίσκο και μεταξύ αυτών είναι και ra "σταθερά" ονόματά του. Πρόκειται για όλα αυτά ra "Device 
ID" και είναι έξι στο πλήθος. Ένα οποιοδήποτε εξ αυτών µας κάνει - κι εμείς εστιάσαµε στο Device ID 2. 


cvar@thehost:~ 


File Edit View Search Terminal Help 


cvar@thehost:~> 

cvar@thehost:~> sudo ls -lh /dev/disk/by-id/ 
total 0 
lrwxrwxrwx root root Dec 23 09:48 ata-WDC WD1OEZEX-00WN4AO. WD-WMC6YOF9W2X6 -> ../../sda 

root root Dec 23 09:48 ata-WDC_WD7500AACS-00ZJBO_WD-WCASJ0533957 -> ../../sdb 

root root Dec 22 10:06 ata-WDC WD7500AACS-90ZJB0 WD-WCASJ0533957-partl -> ../../sdbl 

root root Dec 22 10:06 ata-WDC МО750ӨААС5-00228В0 WD-WCASJ0533957-part2 -> ../../sdb2 

root root Dec 23 09:48 5с51-ӨАТА Μος WDIOEZEX-00W WD-WMC6YOF9W2X6 -> ../../sda 

root root Dec 23 09:48 scsi-0ATA WDC, WD7508AACS-0. WD-WCASJ0533957 -> ../../sdb 

root root Dec 22 10:06 scsi-O0ATA МОС WD7500AACS-0. WD-WCASJ0533957-partl -> ../../sdbl 

root root Dec 22 10:06 5с51-ӨАТА МОС WD7500AACS-0  WD-WCASJ0533957-part2 -> ../../sdb2 

root root Dec 23 09:48 5с51-1АТА WDC WDlOEZEX-90WN4A0 WD-WMC6YOF9W2X6 -> ../../sda 

root root Dec 23 09:48 5с51-1АТА WDC М07500ААС5-0022В0 WD-WCASJ0533957 -> ../../sdb 

root root Dec 22 10:06 scsi-lATA WDC М0750ӨААС5-0022В0 WD-WCASJ0533957-partl -> ../../sdbl 
root root Dec 22 10:06 5с51-1АТА WDC WD7509AACS-90Z22JB0 WD-WCASJ0533957-part2 -> ../../sdb2 
root root Dec 23 09:48 scsi-350014ee0041a2cf9 -> ../../sda 

root root Dec 23 09:48 5с51-350014ее25636а364 -> ../../sdb 

root root Dec 22 10:06 scsi-350014ee25636a364-partl -> ../../sdbl 

root root Dec 22 18:06 scsi-350014ee25636a364-part2 -> ../../sdb2 

root root Dec 23 09:48 5с51-5АТА WDC WDIOEZEX-090. WD-WMC6YOF9W2X6 -> ../../sda 

root root Dec 23 09:48 scsi-SATA WDC WDIOEZEX-00W WD-WMC6YOF9W2X6 -> ../../sda 

root root Dec 23 09:48 scsi-SATA МОС WD7508AACS-0 WD-WCASJ0533957 -> ../../sdb 

root root Dec 22 10:06 5с51-5АТА WDC, М0750ӨААС5-Ө WD-WCASJ0533957-partl -> ../../sdbl 

root root Dec 22 10:06 5с51-5АТА МОС WD7509AACS-0 WD-WCASJ0533957-part2 -> ../../sdb2 

root root Dec 23 09:48 scsi-SATA WDC WD7509AACS- WD-WCASJ0533957 -> ../../sdb 

lrwxrwxrwx root root Dec 22 10:06 scsi-SATA WDC WD7509AACS- WD-WCASJ0533957-partl -> ../../sdbl 
lrwxrwxrwx root root Dec 22 10:06 5с51-5АТА WDC WD7500AACS- WD-WCASJ0533957-part2 -> ../../sdb2 
cvar@thehost: ~> 


lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 
lrwxrwxrwx 


1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 


Χωρίς το YaST και τον Partitioner, та Device IDs τα βλέπουμε και µέσα στον κατάλογο /dev/disk/by-id. Όλα 
ra Device IDs που µας ενδιαφέρουν αποτελούν symbolic links προς то όνομα που έχει αποδώσει το Linux στο 
δίσκο (sda). 
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cvar@thehost:~ - 


File Edit View Search Terminal Help 
cvar@thehost 
cvar@thehost: 5 
thehost:/home/cvar # 


thehost:/home/cvar # cd /etc/li rt/qemu @ 
thehost:/etc/libvirt/qemu # 
thehost:/etc/libvirt/qemu # ls -lh o 

total 20K 


drwxr-xr-x root root 44 Dec 12 20:41 
root root 3.8K Dec 21 09:51 DbxNode.xml 


1 
1 
1 root root 3.9K Dec 22 12:07 FreeBSD.xml 
1 
H 


-rw- 


-rw- 
root root 40 Dec 9 19:23 
root root 3.9K Dec 12 18:06 OpenBSD.xml 

1 root root 4.1K Dec 21 10:21 TrustyTahr.xml 


thehost:/etc/libvirt/qemu # 
thehost:/etc/libvirt/qemu # virsh edit obxnodd |@ 


cvar@thehost:~ 


File Edit View Search Terminal Help 


= no! 
-'no' 


/usr/bin/qemu-system-x86 64 


= file“ z'disk' 
z'gemu' -'raw' 
='/var/lib/libvirt/images/ubuntu_dbxnode.img' 
z'vda' z'virtio' 
='1' 
='pci' ='0x0000' ='0x00' ='0x06' ='0x0' 
='block' ='disk' 


e='qemu' e='raw' 


/dev/disk/by-id/scsi-@ATA_WDC_WD10EZEX-00W_WD-WMC6Y0F9W2X6 ' 
='vdb' ='virtio' 

='usb' ='0' z'ich9-ehcil' 

z'pci' -'0x0000' ='0х00' z'0x05' z'OxT' 

='usb! ='0' ='ich9-uhci1' 
ЕСІ 

z'pci' -'0x0000' ='0х00' ='0х05' ='0x0' 

='usb' ='0' ='ich9-uhci2' 
212! 

-- INSERT -- 47,12 


VHA@KER 


='on' 


35% 
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cvar@thehost.~ 


File Edit View Search Terminal Help 


thehost:/etc/libvirt/qemu # 
thehost:/etc/libvirt/qemu # virsh define DbxNode.xml 
Domain DbxNode defined from DbxNode.xml 


thehost:/etc/libvirt/qemu # П 


Н προσθήκη που κάναμε στο DbxNode.xml δεν θα ληφθεί υπόψη αν δεν πληκτρολογήσουμε και "virsh define DbxNode. 
xml" (ναι, αυτή τη φορά µε την κατάληξη). Αν δεν έχουµε κάνει κάποιο λάθος, θα πρέπει να πάρουμε ένα μήνυμα σαν αυτό 
που απεικονίζεται στο screenshot. 


Dropbox Node Virtual Machine 


File Virtual Machine View Send Key 


| Virtual Disk 
Peronhánce Source path: /dev/disk/by-id/scsi-OATA. WDC. WD1OEZEX-00W- WD-WMC6YOF9W2X6 


3 Processor Device type: VirtlO Disk 2 
Storage size: Unknown 
Readonly: | 


Shareable: = 


ЕС Memory 

95 Boot Options 

(3 VirtlO Disk 1 
* Advanced options 

SE NIC :d8:85:14 Disk bus: | VirtlO 


^3 Mouse 
— Serial number: 


= Keyboard 
ΕΕ Display Spice 
Serial 1 > Performance options 


Storage format: | raw 


(= Channel spice > ΙΟ Tuning 
ἘΞ video VMVGA 

Controller USB 

"m Controller PCI 

"m Controller IDE 

"m Controller VirtlO Serial 

(Ë) USB Redirector 1 

e USB Redirector 2 


& RNG 


Add Hardware Remove | | Cancel 


To μήνυμα που πήραμε στο Τερματικό δεν µας αρκεί για va βεβαιωθούµε ότι ο δίσκος έχει προστεθεί ото VM. Μέσα ano 
τον Virtual Machine Manager, λοιπόν, ρίχνουμε ша ματιά στις ιδιότητες της μηχανής (για το παράδειγμά µας, εκείνης µε 
όνοµα Dropbox Node). Λογικά, τώρα θα έχει δύο δίσκους. O δεύτερος (VirtlO Disk 2) είναι ο φυσικός δίσκος που μόλις 
προσθέσαμε. Δείτε то Source path και θα πειστείτε. 
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Dropbox Node Virtual Machine - 


Virtual Machine View Send Key 


suboedbxnode : $ Süde Tülsk zl 


Disk ¿deuzuda: 34.4 GB, 34359738368 bytes 
255 heads, 63 sectors/track, 4177 cylinders, total 67108864 sectors 
Units - sectors of 1 * 512 - 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 

1⁄0 size (ninimunzoptinal): 512 bytes / 512 bytes 

Disk identifier: 0x000c2276 


Device Boot Start End Blocks Id System 
Zdeuzudal 59295744 67106815 3905536 82 Linux swap / Solaris 
Zdeuzuda2 ж 2048 59295743 29646848 83 Linux 


Partition table entries are not in disk order 47 


16 heads, 63 sectors/track, 1938021 cylinders, total 1953525168 sectors 
Units - sectors of 1 * 512 - 512 bytes 

Sector size (logical’physical): 512 bytes / 512 bytes 

1/0 size (minimum/optimal): 512 bytes / 512 bytes 

Disk identifier: 0x00042e95 


Device Boot Start End Blocks Id System 
sub0gdbxnode:^$ 


Press Control_L+Alt_L to release pointer. Dropbox Node Virtual Machine - 


Virtual Machine View Send Key 


cfdisk (util-linux 2.20.1) 
Disk Drive: ¿deuzudb 
Size: 1000204886016 bytes, 1000.2 GB 
Heads: 16 Sectors per Track: 63 Cylinders: 1938021 
Flags Part Tupe FS Tupe [Label] Size (MB) 


1000204 .83 


г Bootable 1 [ Delete 1 Г Help 1 І Maximize 1 Г Print 


г Quit 15 ОЕ Tupe 1 [ Units 1 Urite ] 


Write partition table to disk (this might destroy data)_ 


Προσωπικό cloud µε ro openSUSE [μέρος 2/2] 


Dropbox Node Virtual Machine - п х 
File Virtual Machine View Send Key 


= n - 


sub00dbxnode:"9 sudo fdisk I 


Disk ¿deuzuda: 34.4 GB, 34359738368 bytes 

255 heads, 63 sectors/track, 4177 cylinders, total 67108864 sectors 
Units - sectors of 1 * 512 - 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 

1/0 size (minimum/optimal): 512 bytes / 512 bytes 

Disk identifier: 0x000c2276 


Device Boot Start End Blocks Systen 
/devsudal 59295744 67106815 3905536 Linux swap / Solaris 
Zdeuzuda2 κ 2048 59295743 29646848 Linux 


Partition table entries are mot іп disk order 


Disk ¿deuzudb: 1000.2 GB, 1000204886016 bytes 

16 heads, 63 sectors/track, 1938021 cylinders, total 1953525168 sectors 
Units - sectors of 1 * 512 - 512 bytes 

Sector size (10діса1/рһуѕіса1): 512 bytes / 512 bytes 

1/0 size (minimum/optimal): 512 bytes / 512 bytes 

Disk identifier: 0x00042e95 


Device Boot Start End Blocks Id System 
/devvvdbl — 63 1953525167 976762552» ВЗ Linux 
$ 


sub0@dbxnode: 


Dropbox Node Virtual Machine - п х 


File Virtual Machine View Send Key 


sub0@dbxnode :~$ 

mke2fs 1.42.9 (4-Feb-2014) 

Filesystem label-udcBluei1TB 

05 type: Linux 

Block size=4096 (log=2) 

Fragment size-4096 (log-2) 

Stride-0 blocks, Stripe uidth-0 blocks 

61054976 inodes, 244190638 blocks 

12209531 blocks (5.00%) reserved for the super user 

First data block=0 

Maximum filesystem blocks-4294967296 

7453 block groups 

32768 blocks per group, 32768 fragments per group 

8192 inodes per group 

Superblock backups stored on blocks: 
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 
4096000, 7962624, 11239424, 20480000, 23887872, 71663616, 78675968, 
102400000, 214990848 


Allocating group tables: done 

Writing inode tables: done 

Creating journal (32768 blocks): done 

Writing superblocks and filesystem accounting information: done 


sub0@dbxnode :~§ 
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File Edit View Search Terminal 


cvar@thehost:~> 


cvar@thehost:~> 


Welcome to Ubuntu 14.04.3 LTS (GNU/Linux 3.19.0-42-generic x86_64) 
* Documentation: 


System information as of Wed Dec 23 10:14:14 EET 2015 


System load: 


Usage of /: 


Memory usage: 


Swap usage: 


Graph this data and manage this system at: 


% of 27.70GB 


Help 


https://help.ubuntu.com/ 


Processes: 


IP 


https: //landscape.canonical.com/ 


Ὁ packages can be updated. 


© updates are security updates 


Last login: Wed Dec 23 10:14:14 2015 
sub0Qdbxnode: ~$ 


File Edit View Search Terminal 


sub0@dbxnode: «ὁ 
sub0@dbxnode: ~$ 
total 0 


lrwxrwxrwx 1 root root 10 Dec 23 10:18 
lrwxrwxrwx 1 root root 10 Dec 23 10:14 
lrwxrwxrwx 1 root root 10 Dec 23 10:14 


sub0@dbxnode: ~$ 


File Edit View Search Terminal 


sub@@dbxnod 
sub0@dbxnode: 


Š 
$ 
Š 
$ 


sude 


Help 


Help 


subO@dbxnode: ~ 


Users logged in: 


address for eth0: 192.168.10.235 


subO@dbxnode: ~ 


subO@dbxnode: ~ 


VHAGOKER 


../../vdb1 


../../vda2 
ЖҮКТІКІЕР 


Προσωπικό cloud µε ro openSUSE [μέρος 2/2] 


subO@dbxnode: ~ 


File Edit View Search Terminal Help 
GNU nano 2.2.6 File: /etc/fstab Modified 


# /etc/fstab: static file system information. 

# 

# Use 'blkid' to print the universally unique identifier for a 

# device; this may be used with UUID= as a more robust way to name devices 
# that works even if disks are added and removed. See fstab(5). 

# 

# <file system> <mount point> <type> <options> <dump> <ра55> 


# / was on /dev/vda2 during installation 
UUID=d072fd43-c95f-4eb9-9d5b-4b7e25f96eed / errors=remount-ro 


# swap was on /dev/vdal during installation 
UUID=db588b34-2fcb-43aa-aeaf-657a934102da none swap sw 


IUUID-a73da702-9e12-4ff8-b30a-80076103dc41 /mnt/wdcBluelTB ext4 defaults 


MS Get Help Ше WriteOut Mi Read File Ші Prev Page cut Text Ше Cur Pos 
ШИ Exit Justify ШІ Where Is ШІ Next Page MU UnCut Text ШІ To Spell 


Ιδού η γραμμή που εμείς προσθέσαµε ото /etc/fstab. Στη δική σας περίπτωση θα διαφέρει το UUID, ο κατάλογος 
προσάρτησης (/mnt/wdcBlue1TB) - δεν αποκλείεται kat Το είδος του συστήµατος αρχείων (ext4). 


subO@dbxnode: ~ 


File Edit View Search Terminal Help 


subO0@dbxnode:~$ 
:~$ sudo mkdir /mnt/wdcBluelTB 


~$ 
:~$ sudo mount /mnt/wdcBluelTB @ 


:“5 
:~$ df -hT Q 
Type ze i % Mounted on 


devtmpfs  487M 
tmpfs 100M 
ext4 286 
4.0K 
5.0M 
497М 
100M 
9176 


ы 


/dev 

/run 

/ 
/sys/fs/cgroup 
/ run/lock 

/ run/shm 
/run/user 
/mnt/wdcBluelTB 


— 


о 


о оо 
ὃς ὃς ὃς o9 à% 


e 
% 2% 


m 
8 


Αφού κάναμε την προσθήκη µας ото fstab, είναι ора va προσαρτήσουµε тп νέα κατάτμηση. Ξεκινάμε δημιουργώντας τον 
κατάλογο προσάρτησης (1) κι αµέσως µετά πραγματοποιούμµε την ίδια την προσάρτηση (2). Θέλουμε va βεβαιωθούμε ότι 
όλα έχουν πάει кала, γι’ αυτό και παρατηρούμε την έξοδο rou df (3). H τελευταία γραμμή μάς καθησυχάζει, µας χαροποιεί 
και pac γεμίζει αισιοδοξία για τη ζωή! 
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VHAGKER 


subOgdbxnode:^$ sudo fdisk -1 


Disk ¿deuzuda: 34.4 GB, 34359738368 bytes 

255 heads, 63 sectors/track, 4177 cylinders, total 67108864 sectors 
Units - sectors of 1 * 512 - 512 bytes 

Sector size (logical^physical): 512 bytes / 512 bytes 

І/0 size (minimum/optimal): 512 bytes / 512 bytes 

Disk identifier: 0x000c2276 


Device Boot Start End Blocks 14 Sustem 
Zdeuzudal 59295744 67106815 3905536 82 Linux suap / Solaris 
Zdeuzuda2 ж 2048 59295743 29646848 83 Linux 


Partition table entries are not in disk order 


Disk ¿deuzudb: 1000.2 GB, 1000204886016 bytes 

16 heads, 63 sectors/track, 1938021 cylinders, total 1953525168 sectors 
Units = sectors of 1 * 512 = 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 

1⁄0 size (minimum/optimal): 512 bytes / 512 bytes 

Disk identifier: 0x00042e95 


Device Boot Start End Blocks Id Sust en 
de u udbi 63 1953525167 976762552 83 Linux 
sub0@dbxnode:~$ _ 


cvar@thehost:~ 


File Edit View Search Terminal Help 


cvarethehost: 
cvar@thehost:~> sudo fdisk -l 


Disk /dev / sda: 931.5 GiB, 1000204886016 bytes, 1953525168 sectors 
Units: sectors of 1 % 512 = 512 bytes 

Sector size (logical/physical): 512 bytes / 4096 bytes 

I/O size (minimum/optimal): 4096 bytes / 4096 bytes 

Disklabel type: dos 

Disk identifier: 0x00042e95 


Boot Start End Sectors Size Id Type 
63 1953525167 1953525105 931.5G 83 Linux 


Disk /dev/sdb: 698.7 GiB, 750156374016 bytes, 1465149168 sectors 
Units: sectors of 1 * 512 = 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 

I/O size (minimum/optimal): 512 bytes / 512 bytes 

Disklabel type: dos 

Disk identifier: 0x00068e85 


Device Boot Start End Sectors Size Id Type 
/dev/sdb1 2048 16787455 16785408 8G 82 Linux swap / Solaris 
/dev/sdb2 16787456 1465147391 1448359936 690.6G 83 Linux 


Το νέο διαμέρισμα που δημιουργήσαμε και προσαρτήσαµε είναι ορατό τόσο από από ro guest OS (Ubuntu Server, 
αριστερά), όσο κι από ro host OS (openSUSE, δεξιά). Καλό αυτό, ωστόσο όταν то VM είναι ενεργό σκοπεύουµε va 
γράφουμε και να διαβάζουμε δεδοµένα μόνον από ro guest OS. 
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